3
Sicherheitsscan einer Internetseite - Tools ?
Hallo zusammen,
in paar Wochen geht mein neues Projekt online und ich würde vorher gerne ein Web Application Scan durchführen lassen, es gibt da einige Anbieter die Google auflistet aber irgenwie weiß ich nicht welcher ich vertrauen kann. Habe auch gesehen dass man mit Kali Linux so etwas durchführen kann, da muss ich mich natürlich noch etwas einlesen.
Habt ihr Erfahrung mit Firmen die solche Tests anbieten ? bzw. was haltet Ihr von so Seiten wo man über deren Webseite solche Scans durchführen kann ? Beispiel ( pentest-tools.com oder qualys )
Vielen Dank,ich freue mich auf Antworten.
in paar Wochen geht mein neues Projekt online und ich würde vorher gerne ein Web Application Scan durchführen lassen, es gibt da einige Anbieter die Google auflistet aber irgenwie weiß ich nicht welcher ich vertrauen kann. Habe auch gesehen dass man mit Kali Linux so etwas durchführen kann, da muss ich mich natürlich noch etwas einlesen.
Habt ihr Erfahrung mit Firmen die solche Tests anbieten ? bzw. was haltet Ihr von so Seiten wo man über deren Webseite solche Scans durchführen kann ? Beispiel ( pentest-tools.com oder qualys )
Vielen Dank,ich freue mich auf Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 574475
Url: https://administrator.de/contentid/574475
Printed on: April 19, 2024 at 06:04 o'clock
3 Comments
Latest comment
Moin,
kommt drauf an, was Du genau von so einem Scan erwartest.
Es gibt verschiedene Anbieter, die verschiedene Dinge scannen obwohl sie alle behaupten, die all-in-one-Lösung zu sein
Ich würde erstmal anfangen, mit dem Mozilla Observatory zu prüfen, wie es um die Konfiguration der Infrastruktur steht. Der prüft auch, ob die Webseite anfällig für XSS-Angriffe ist.
Kali ist ein umfangreicher Baukasten, da muss man sich schon ein wenig mit beschäftigen und die gängigen Tutorials gehen eher in Richtung WLAN-Hacking (gähn) und Metasploiting.
Gruß
Bernhard
kommt drauf an, was Du genau von so einem Scan erwartest.
Es gibt verschiedene Anbieter, die verschiedene Dinge scannen obwohl sie alle behaupten, die all-in-one-Lösung zu sein
Ich würde erstmal anfangen, mit dem Mozilla Observatory zu prüfen, wie es um die Konfiguration der Infrastruktur steht. Der prüft auch, ob die Webseite anfällig für XSS-Angriffe ist.
Kali ist ein umfangreicher Baukasten, da muss man sich schon ein wenig mit beschäftigen und die gängigen Tutorials gehen eher in Richtung WLAN-Hacking (gähn) und Metasploiting.
Gruß
Bernhard
Die erste Frage ist ja die übliche: Was sagt dein Budget? Denn davon hängt ab was die Firmen überhaupt leisten können - die wenigsten Firmen machen das ja aus reiner Freundschaft ;).
Dann ist noch die zweite Frage: Was erwartest du? Es gibt einfach unterschiede in den Anforderungen wenn du "Ruffys-Rezepteseite" erstellst bei der man kostenlos sich das beste Zement-Mischverhältnis runterladen kann - oder ob du grad zufällig nen zweites Amazon oder PayPal-System gebaut hast.
Und zum Schluss die dritte Frage: Wie sieht es mit dem System UNTER der Webseite aus? Ist ja schön wenn deine Webseite extra sicher und alles ist aber du das ganze unter Linux mitm root-ssh-login und dem Passwort "rootpw" laufen lässt..
Wenn du die 3 Punkte geklärt hast kann man sicher schauen, ansonsten kann man eben nur die 08-15 Scanner nutzen. Und da werden dir einige sagen das du ne kritische Lücke hast - weil auf deinem Server Port 80/443 erreichbar sind (was jetzt tendentiell beim Webserver nich SOOO überraschend ist...)
Dann ist noch die zweite Frage: Was erwartest du? Es gibt einfach unterschiede in den Anforderungen wenn du "Ruffys-Rezepteseite" erstellst bei der man kostenlos sich das beste Zement-Mischverhältnis runterladen kann - oder ob du grad zufällig nen zweites Amazon oder PayPal-System gebaut hast.
Und zum Schluss die dritte Frage: Wie sieht es mit dem System UNTER der Webseite aus? Ist ja schön wenn deine Webseite extra sicher und alles ist aber du das ganze unter Linux mitm root-ssh-login und dem Passwort "rootpw" laufen lässt..
Wenn du die 3 Punkte geklärt hast kann man sicher schauen, ansonsten kann man eben nur die 08-15 Scanner nutzen. Und da werden dir einige sagen das du ne kritische Lücke hast - weil auf deinem Server Port 80/443 erreichbar sind (was jetzt tendentiell beim Webserver nich SOOO überraschend ist...)
Vielen dank für eure Antworten, das Projekt ist noch im werden, daher können wir jetzt noch einiges ändern bzw. testen.
Das Budget ist vorhanden, kann nur keine Zahl davor machen, also lieber gebe ich bisschen Geld aus und habe später kein böses erwachen.
Es ist ein Projekt womit man auf jeden Fall Geld verdienen kann und es auch schon bisschen Konkurrenz gibt, daher ist es schon wichtig für mich dass die APP / Webseite sicher ist, ich weiß dass es sich dabei um einen laufen Prozess handelt und man immer schauen bzw. scannen muss, daher auch die Frage ob solche Seiten wie oben genannt seriös sind. Es kommen ja immer neue Sicherheitslücken dazu.
Das System unten drunter ist denke ich sicher, wir haben bei Hetzner einen Managed Server.
Das Budget ist vorhanden, kann nur keine Zahl davor machen, also lieber gebe ich bisschen Geld aus und habe später kein böses erwachen.
Es ist ein Projekt womit man auf jeden Fall Geld verdienen kann und es auch schon bisschen Konkurrenz gibt, daher ist es schon wichtig für mich dass die APP / Webseite sicher ist, ich weiß dass es sich dabei um einen laufen Prozess handelt und man immer schauen bzw. scannen muss, daher auch die Frage ob solche Seiten wie oben genannt seriös sind. Es kommen ja immer neue Sicherheitslücken dazu.
Das System unten drunter ist denke ich sicher, wir haben bei Hetzner einen Managed Server.
