Sicherheitsscan einer Internetseite - Tools ?
Hallo zusammen,
in paar Wochen geht mein neues Projekt online und ich würde vorher gerne ein Web Application Scan durchführen lassen, es gibt da einige Anbieter die Google auflistet aber irgenwie weiß ich nicht welcher ich vertrauen kann. Habe auch gesehen dass man mit Kali Linux so etwas durchführen kann, da muss ich mich natürlich noch etwas einlesen.
Habt ihr Erfahrung mit Firmen die solche Tests anbieten ? bzw. was haltet Ihr von so Seiten wo man über deren Webseite solche Scans durchführen kann ? Beispiel ( pentest-tools.com oder qualys )
Vielen Dank,ich freue mich auf Antworten.
in paar Wochen geht mein neues Projekt online und ich würde vorher gerne ein Web Application Scan durchführen lassen, es gibt da einige Anbieter die Google auflistet aber irgenwie weiß ich nicht welcher ich vertrauen kann. Habe auch gesehen dass man mit Kali Linux so etwas durchführen kann, da muss ich mich natürlich noch etwas einlesen.
Habt ihr Erfahrung mit Firmen die solche Tests anbieten ? bzw. was haltet Ihr von so Seiten wo man über deren Webseite solche Scans durchführen kann ? Beispiel ( pentest-tools.com oder qualys )
Vielen Dank,ich freue mich auf Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574475
Url: https://administrator.de/forum/sicherheitsscan-einer-internetseite-tools-574475.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
kommt drauf an, was Du genau von so einem Scan erwartest.
Es gibt verschiedene Anbieter, die verschiedene Dinge scannen obwohl sie alle behaupten, die all-in-one-Lösung zu sein
Ich würde erstmal anfangen, mit dem Mozilla Observatory zu prüfen, wie es um die Konfiguration der Infrastruktur steht. Der prüft auch, ob die Webseite anfällig für XSS-Angriffe ist.
Kali ist ein umfangreicher Baukasten, da muss man sich schon ein wenig mit beschäftigen und die gängigen Tutorials gehen eher in Richtung WLAN-Hacking (gähn) und Metasploiting.
Gruß
Bernhard
kommt drauf an, was Du genau von so einem Scan erwartest.
Es gibt verschiedene Anbieter, die verschiedene Dinge scannen obwohl sie alle behaupten, die all-in-one-Lösung zu sein
Ich würde erstmal anfangen, mit dem Mozilla Observatory zu prüfen, wie es um die Konfiguration der Infrastruktur steht. Der prüft auch, ob die Webseite anfällig für XSS-Angriffe ist.
Kali ist ein umfangreicher Baukasten, da muss man sich schon ein wenig mit beschäftigen und die gängigen Tutorials gehen eher in Richtung WLAN-Hacking (gähn) und Metasploiting.
Gruß
Bernhard
Die erste Frage ist ja die übliche: Was sagt dein Budget? Denn davon hängt ab was die Firmen überhaupt leisten können - die wenigsten Firmen machen das ja aus reiner Freundschaft ;).
Dann ist noch die zweite Frage: Was erwartest du? Es gibt einfach unterschiede in den Anforderungen wenn du "Ruffys-Rezepteseite" erstellst bei der man kostenlos sich das beste Zement-Mischverhältnis runterladen kann - oder ob du grad zufällig nen zweites Amazon oder PayPal-System gebaut hast.
Und zum Schluss die dritte Frage: Wie sieht es mit dem System UNTER der Webseite aus? Ist ja schön wenn deine Webseite extra sicher und alles ist aber du das ganze unter Linux mitm root-ssh-login und dem Passwort "rootpw" laufen lässt..
Wenn du die 3 Punkte geklärt hast kann man sicher schauen, ansonsten kann man eben nur die 08-15 Scanner nutzen. Und da werden dir einige sagen das du ne kritische Lücke hast - weil auf deinem Server Port 80/443 erreichbar sind (was jetzt tendentiell beim Webserver nich SOOO überraschend ist...)
Dann ist noch die zweite Frage: Was erwartest du? Es gibt einfach unterschiede in den Anforderungen wenn du "Ruffys-Rezepteseite" erstellst bei der man kostenlos sich das beste Zement-Mischverhältnis runterladen kann - oder ob du grad zufällig nen zweites Amazon oder PayPal-System gebaut hast.
Und zum Schluss die dritte Frage: Wie sieht es mit dem System UNTER der Webseite aus? Ist ja schön wenn deine Webseite extra sicher und alles ist aber du das ganze unter Linux mitm root-ssh-login und dem Passwort "rootpw" laufen lässt..
Wenn du die 3 Punkte geklärt hast kann man sicher schauen, ansonsten kann man eben nur die 08-15 Scanner nutzen. Und da werden dir einige sagen das du ne kritische Lücke hast - weil auf deinem Server Port 80/443 erreichbar sind (was jetzt tendentiell beim Webserver nich SOOO überraschend ist...)