Ist das ein Penetrationstest?

Nein. Veriploy ist eine laufende technische Prüfung von Code, Security, CVEs und Infrastruktur, kein klassischer Pentest. Bei base44-Apps schauen wir besonders auf Datenzugriff, generierte Auth und Integrations-Secrets. Ein Pentest kann das ergänzen, wenn gezielt Angriffe simuliert werden sollen.

Macht ihr auch die Fixes?

Im Abo nicht. Wir prüfen, priorisieren und erklären, was zu tun ist, etwa wie eine Zugriffsregel aussehen sollte oder wie ein Integrations-Schlüssel sauber serverseitig landet. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt die Prüfung unabhängig von der Umsetzung.

Was braucht ihr für die Prüfung?

Einblick in die base44-App und, soweit zugänglich, den Code oder Export, dazu die base44-Konfiguration zu Datenmodell, Auth und Integrationen. Lesezugriff reicht, Schreibrechte brauchen wir nicht, weil wir die Fixes nicht selbst umsetzen.

Ersetzt das die base44- oder Wix-Checks?

Nein, es ergänzt sie. Die eingebauten Checks finden Findings, das ist ein guter Anfang. Veriploy ordnet ein, welche davon vor echten Nutzern produktionskritisch sind, und behält Code, CVEs und Infrastruktur danach laufend im Blick. Automatische Checks und menschliche Priorisierung arbeiten zusammen.

Der Einstieg ist fest kalkuliert: Snapshot 790 € und Baseline 1.490 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.

Base44 prüfen

Base44-App prüfen lassen, bevor Datenzugriff, Auth oder Integrationen zum Risiko werden

Base44 baut Frontend, Datenbank, Auth und Hosting in Minuten aus einem Prompt, und die App läuft. Ob sie produktionsreif ist, entscheidet sich am managed Backend: an den Datenzugriffsregeln, der generierten Auth und den Integrations-Secrets für Stripe, OpenAI und E-Mail. Veriploy prüft genau diese Punkte, ordnet ein, was wirklich kritisch ist, und behält Code, CVEs und Infrastruktur danach laufend technisch im Blick.

Pakete ansehen

Snapshot ab 790 €
Datenzugriff, Auth & Integrationen im Fokus
Code + CVE + Infrastruktur
Deutscher Ansprechpartner

Technischer Ansprechpartner

Timo Wevelsiep

Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer

Ich prüfe Code, Security und Infrastruktur und mache sichtbar, was vor Launch, Kundeneinsatz oder Due Diligence technisch riskant ist.

Für Fragen wie:

Ist dieser Release produktionsreif?
Welche CVEs sind wirklich kritisch?
Sind Auth, Datenzugriff und Tenant-Isolation sauber?

Base44-Apps sind in Minuten live, aber das Backend ist abstrahiert

Base44 bringt das Team extrem schnell zu einer App, die im Demo läuft, inklusive Datenbank, Auth und Hosting. Genau weil base44 das Backend automatisch generiert und verwaltet, bleiben die Entscheidungen unsichtbar, die erst vor echten Nutzern zum Problem werden. Diese Lücken sehen wir bei base44-Apps am häufigsten:

Login ist vorhanden, aber wer welche Datensätze sehen darf, ist nicht sauber begrenzt
Datenzugriffsregeln je Entität zu großzügig oder gar nicht durchgesetzt
die generierte Auth blendet im UI aus, erzwingt Rollen aber nicht serverseitig
Integrations-Secrets für Stripe, OpenAI oder Twilio ohne klaren Schutz
kritische Aktionen wie Zahlungen oder KI-Aufrufe laufen zu nah am Client
auf dem managed Hosting fehlen Rate Limits, Logging und ein Backup-/Restore-Plan
Lock-in und Export: unklar, was bei Wachstum kontrolliert aus base44 herausführt
im zugänglichen Code Dependencies mit bekannten CVEs, die niemand aktualisiert

Datenzugriff und Berechtigungen: Login ist nicht Zugriffsschutz

Base44 generiert Datenmodell und Auth automatisch, und das Login funktioniert sofort. Daraus folgt aber nicht, dass Daten geschützt sind. Authentifizierung beantwortet nur die Frage, wer jemand ist. Autorisierung beantwortet, was diese Person sehen und ändern darf. Genau diese zweite Ebene, die Zugriffsregeln pro Datensatz und pro Nutzer, wird beim schnellen Bauen oft nicht sauber gesetzt.

Fehlt die Eigentümer- oder Tenant-Prüfung, kann ein eingeloggter Nutzer über die API mehr abfragen, als die Oberfläche zeigt: Datensätze, die eigentlich anderen gehören. Auch eine Regel, die nur prüft, ob jemand eingeloggt ist, trennt keine Mandanten voneinander.

Wir prüfen, ob der Zugriff je Entität tatsächlich pro Nutzer oder Tenant isoliert, ob es Daten gibt, die versehentlich offen erreichbar sind, und wie konsistent die Regeln über alle Entitäten gelten. Jeden Befund ordnen wir nach Schweregrad ein, sodass sichtbar wird, was wirklich produktionskritisch ist.

Generierte Auth und Rollen serverseitig durchsetzen

Base44 erzeugt Auth und oft auch Rollen automatisch. Praktisch, aber eine Rolle schützt nur, wenn sie serverseitig erzwungen und nicht nur im UI ausgeblendet wird. Wird ein Admin-Bereich im Frontend versteckt, der Endpunkt aber ungeprüft erreichbar gelassen, reicht der direkte Aufruf.

Typisch ist, dass die App davon ausgeht, nur die eigene Oberfläche rufe die Backend-Logik auf. Wer den Endpunkt kennt, kann ihn aber direkt ansprechen. Wir prüfen, ob Rollen- und Berechtigungsprüfungen serverseitig greifen und ob kritische Aktionen wirklich dort entschieden werden, statt sich auf das UI zu verlassen.

Integrations-Secrets: Stripe, OpenAI, E-Mail und SMS

Base44 bringt native Integrationen mit: Stripe für Zahlungen, OpenAI und Anthropic für KI-Features, SendGrid und Twilio für E-Mail und SMS. Jede davon hat Schlüssel mit realer Tragweite. Landen sie im Client oder werden Aufrufe zu nah am Browser ausgeführt, kann jemand sie auslesen oder auf Rechnung des Betreibers nutzen. Bei Zahlungs- und KI-APIs wird daraus schnell ein direkter finanzieller Schaden.

Wir prüfen, wo die Integrations-Secrets liegen, ob die Aufrufe serverseitig laufen und ob Limits gegen Missbrauch existieren, damit ein offener KI- oder Mail-Endpunkt nicht zur Kostenfalle wird.

Managed Hosting, Betrieb und Export

Eine funktionierende App ist noch keine betriebssichere App. Auf dem managed Hosting von base44 ist vieles abgenommen, aber nicht alles im Blick. Wir prüfen die Betriebsebene mit:

Rate Limits an Login-, API- und Integrations-Endpunkten
Monitoring und Logging, damit Fehler und Angriffe sichtbar werden
Backups der Daten mit getestetem Wiederherstellungsweg
Trennung von Test- und Live-Daten sowie -Umgebungen
Security-Header und enge Zugriffsregeln, soweit konfigurierbar
Export- und Lock-in-Frage: was führt bei Wachstum kontrolliert aus base44 heraus

Was base44- und Wix-Checks leisten und wo Veriploy ergänzt

Base44 und Wix bringen eigene Prüfungen mit, und das ist ein guter Anfang. Automatische Checks finden viele Findings: eine zu weite Zugriffsregel, einen exponierten Schlüssel, eine veraltete Dependency. Was sie nicht leisten, ist die Einordnung: welcher Befund das Produkt vor echten Nutzern wirklich gefährdet und welcher warten kann.

Genau hier setzt Veriploy an. Wir nehmen die Findings, ordnen sie nach Produktionskritikalität ein und übersetzen sie in eine klare Reihenfolge: was sofort behoben werden muss, was vor dem nächsten Release wichtig ist und was unkritisch bleibt. Diese menschliche Priorisierung ersetzt die automatischen Checks nicht, sie macht sie nutzbar.

Und weil base44-Apps sich mit jedem Prompt verändern, bleibt es nicht bei einem Einmal-Blick. Die App wird einmal geprüft (Snapshot oder Baseline) und danach bleiben Code, CVEs und Infrastruktur laufend technisch im Blick, mit Oversight, Guard oder Launch. So bleibt die Risikoampel aktuell, statt mit dem nächsten Feature zu veralten.

Ablauf

So läuft der Base44-Review ab

01
Base44-Kontext klären
Zuerst wird geklärt, wie die App gebaut wurde: base44-Projekt, Datenmodell, generierte Auth und Rollen, genutzte Integrationen (Stripe, OpenAI, E-Mail/SMS), Hosting und geplanter Launch.
02
Datenmodell, Auth und Integrationen einordnen
Ich prüfe, wie Frontend, das von base44 generierte Backend, die Datenzugriffsregeln und die Integrationen zusammenspielen. Besonders wichtig: Welche Logik läuft im Client, welche serverseitig, und wo liegen die Secrets?
03
Datenzugriff, Rollen und Secrets prüfen
Bei base44-Apps liegt das größte Risiko oft nicht im UI, sondern in zu großzügigen Datenzugriffsregeln, nicht serverseitig erzwungenen Rollen oder schlecht geschützten Integrations-Secrets.
04
Findings und Prioritäten
Es entstehen konkrete Findings wie: Zugriff ohne Eigentümer-Filter, Rollenprüfung nur im UI, Integrations-Key zu nah am Client, Endpunkt ohne Validierung, kein Backup-/Restore-Plan.
05
Launch- oder Abo-Empfehlung
Danach ist klar, ob ein Snapshot reicht, ein Baseline-Review sinnvoll ist oder ob das Projekt laufend mit Guard oder Launch begleitet werden sollte.

Viele Projekte starten mit einem Snapshot oder Baseline-Review. Wird das Produkt danach weiter mit AI entwickelt, kann Veriploy es laufend begleiten.

Was ich für den Review brauche

Einblick in die base44-App und, soweit zugänglich, Code/Export
kurze Beschreibung von Stack, Tool und Ziel
Infos zu Hosting und Deployment
Datenmodell-, Auth- und Integrations-Kontext
Hinweise auf sensible Daten oder Nutzerrollen
offene Fragen oder konkrete Sorgen

Was der Review liefert

verständliche Risikoampel
Top-Risiken auf einen Blick
priorisierte Findings
konkrete Handlungsempfehlungen
Einordnung: jetzt fixen, vor Launch fixen, später einplanen
optionale Empfehlung für Oversight, Guard oder Launch

Beispielbefund

So sieht ein Befund aus

veriploy-reportKritisch

ACCESS-01Datenzugriff

Datenzugriffsregel für Entität orders ohne Eigentümer-Filter, eingeloggte Nutzer könnten fremde Bestellungen abrufen. Empfehlung: Zugriff pro user_id erzwingen.

Vergleich

Base44-/Wix-Check oder laufende Aufsicht durch Veriploy?

	Base44-/Wix-Check	Veriploy laufend
Ergebnis	Liste an Findings ohne Reihenfolge	Findings nach Produktionskritikalität einsortiert
Datenzugriff und Secrets	Automatisch erkannt, soweit Muster greifen	Manuell geprüft auf echte Nutzer-/Tenant-Isolation
CVEs und Dependencies	Stand des Check-Laufs	Laufendes Monitoring mit Hinweisen
Infrastruktur und Betrieb	Auf managed Hosting nur eingeschränkt im Blick	Rate Limits, Logging, Backups, Export mitgeprüft
Vor dem Release	Erneuter Check nötig	Menschliche Einschätzung im Paket enthalten

FAQ

Häufige Fragen

Ist das ein Penetrationstest?
Nein. Veriploy ist eine laufende technische Prüfung von Code, Security, CVEs und Infrastruktur, kein klassischer Pentest. Bei base44-Apps schauen wir besonders auf Datenzugriff, generierte Auth und Integrations-Secrets. Ein Pentest kann das ergänzen, wenn gezielt Angriffe simuliert werden sollen.
Macht ihr auch die Fixes?
Im Abo nicht. Wir prüfen, priorisieren und erklären, was zu tun ist, etwa wie eine Zugriffsregel aussehen sollte oder wie ein Integrations-Schlüssel sauber serverseitig landet. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt die Prüfung unabhängig von der Umsetzung.
Was braucht ihr für die Prüfung?
Einblick in die base44-App und, soweit zugänglich, den Code oder Export, dazu die base44-Konfiguration zu Datenmodell, Auth und Integrationen. Lesezugriff reicht, Schreibrechte brauchen wir nicht, weil wir die Fixes nicht selbst umsetzen.
Ersetzt das die base44- oder Wix-Checks?
Nein, es ergänzt sie. Die eingebauten Checks finden Findings, das ist ein guter Anfang. Veriploy ordnet ein, welche davon vor echten Nutzern produktionskritisch sind, und behält Code, CVEs und Infrastruktur danach laufend im Blick. Automatische Checks und menschliche Priorisierung arbeiten zusammen.
Was kostet das?
Der Einstieg ist fest kalkuliert: Snapshot 790 € und Baseline 1.490 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.

Passende Themen

Erkennst du diese Risiken in der eigenen App?

Der AI-App Risiko-Self-Check ordnet Produktstatus, Stack, Auth, Datenzugriff, Infrastruktur, CVEs und deinen technischen Kenntnisstand ein und zeigt, ob ein Review sinnvoll ist.

Risiko-Self-Check starten

Base44-App prüfen lassen und danach im Blick behalten.

Der Einstieg erfolgt mit Snapshot oder Baseline, danach laufende Aufsicht im passenden Paket.

Pakete ansehen

Repo-Fit

Repo-Fit prüfen

Kurz das Projekt beschreiben.

Direkter Kontakt zu mir, kein anonymes Ticket-System. Ich melde mich mit einer ersten Einschätzung und dem passenden Einstieg.