Vollständige Audit-Abdeckung

Alles, was wir prüfen — alle 22.

Eine URL. Keine Installation. NullShield führt jeden Check unten gegen Ihre Live-Site aus und zeigt Ihnen das Ergebnis von jedem — auch die, die Sie bereits bestehen. Das ist die gesamte Methodik, offengelegt.

Deterministisch und auf die OWASP Top 10:2025 abgebildet — dieselbe Site erhält jedes Mal dieselbe Note.

Transport-Sicherheit

4 Checks

Wie der Datenverkehr zu Ihrer Website verschlüsselt und bei der Übertragung geschützt ist.

TLS-/SSL-Zertifikat

Was wir prüfen: Wir öffnen eine Live-HTTPS-Verbindung und prüfen das Zertifikat — Gültigkeit, Aussteller und Ablaufdatum.

Warum es wichtig ist: Ein ungültiges, abgelaufenes oder nicht vertrauenswürdiges Zertifikat lässt Browser Ihre Besucher warnen und zerstört sofort das Vertrauen.

TLS-Protokollversionen

Was wir prüfen: Wir testen aktiv, ob der Server noch die veralteten Protokolle TLS 1.0 und TLS 1.1 akzeptiert.

Warum es wichtig ist: Alte TLS-Versionen haben bekannte Schwächen und bestehen moderne Compliance (PCI DSS, Basis-Härtung) nicht.

HSTS-Stärke

Was wir prüfen: Falls der HTTP-Strict-Transport-Security-Header vorhanden ist, bewerten wir max-age, includeSubDomains und Preload-Bereitschaft.

Warum es wichtig ist: Eine schwache HSTS-Richtlinie lässt ein Fenster für Downgrade-Angriffe und Cookie-Diebstahl beim ersten Besuch offen.

HTTPS-Weiterleitung

Was wir prüfen: Wir rufen die HTTP-Version der Website ab und prüfen, ob sie den Wechsel zu HTTPS erzwingt.

Warum es wichtig ist: Ohne Weiterleitung können Besucher und Suchmaschinen auf der unverschlüsselten Version der Website landen.

Sicherheits-Header

2 Checks

HTTP-Header, die dem Browser sagen, wie er Ihre Besucher schützen soll.

HTTP-Sicherheits-Header

Was wir prüfen: Wir prüfen den vollständigen Satz an Schutz-Headern — HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy und Cross-Origin-Isolations-Header.

Warum es wichtig ist: Diese Header sind die günstigste Abwehr mit höchster Wirkung gegen Clickjacking, MIME-Sniffing und Datenlecks.

Content Security Policy

Was wir prüfen: Falls eine CSP gesetzt ist, bewerten wir ihre Qualität — unsafe-inline, unsafe-eval, Platzhalter-Quellen und fehlende Direktiven.

Warum es wichtig ist: Eine lockere CSP gibt ein falsches Sicherheitsgefühl; eine strenge ist die beste Abwehr gegen Cross-Site-Scripting (XSS).

Cookies & Sitzungen

1 Checks

Ob die von Ihrer Website gesetzten Cookies vor Diebstahl und Missbrauch geschützt sind.

Cookie-Attribute

Was wir prüfen: Wir prüfen jedes von der Website gesetzte Cookie auf die Attribute Secure, HttpOnly und SameSite.

Warum es wichtig ist: Sitzungs-Cookies ohne diese Attribute lassen sich über das Netzwerk oder per Schadskript stehlen und ermöglichen so eine Kontoübernahme.

Frontend- & Inhalts-Integrität

4 Checks

Skripte, Bibliotheken und HTML, die an die Browser der Besucher ausgeliefert werden.

Seiteninhalt & Formulare

Was wir prüfen: Wir analysieren das gerenderte HTML auf gemischte (HTTP-)Inhalte und Formulare, die ohne CSRF-Schutz gesendet werden.

Warum es wichtig ist: Gemischte Inhalte brechen still die Verschlüsselung, und ungeschützte Formulare laden zu Cross-Site-Request-Forgery ein.

Subresource Integrity

Was wir prüfen: Wir listen Drittanbieter-Skripte und -Styles auf, die ohne Integritäts-Hash (SRI) geladen werden.

Warum es wichtig ist: Wird ein CDN, von dem Sie abhängen, kompromittiert, verhindert genau SRI, dass der Code des Angreifers auf Ihrer Website ausgeführt wird.

Offengelegte Source-Maps

Was wir prüfen: Wir testen, ob Ihre JavaScript-Source-Maps öffentlich zugänglich sind.

Warum es wichtig ist: Veröffentlichte Source-Maps geben einem Angreifer Ihren originalen, kommentierten Quellcode preis — samt Logik, die Sie verbergen wollten.

Veraltete JavaScript-Bibliotheken

Was wir prüfen: Wir identifizieren Frontend-Bibliotheken und markieren Versionen, deren Support ausgelaufen ist (altes jQuery, Bootstrap, AngularJS, Moment.js).

Warum es wichtig ist: Ungepflegte Bibliotheken sammeln öffentliche, ungepatchte Schwachstellen an, nach denen Bots aktiv suchen.

Daten- & Informationslecks

4 Checks

Dateien, Pfade und Fehlermeldungen, die die Öffentlichkeit nie sehen sollte.

Offengelegte sensible Pfade

Was wir prüfen: Wir testen sicher rund zwei Dutzend riskante Pfade — .env, .git, Konfigurationsdateien, Anmeldedaten-Speicher und Admin-Panels.

Warum es wichtig ist: Eine einzige erreichbare .env- oder .git-Datei kann Datenbankpasswörter, API-Schlüssel und Ihren gesamten Code preisgeben.

Verzeichnisauflistung

Was wir prüfen: Wir prüfen gängige Ordner auf automatisch generierte Index-Seiten, die ihren Inhalt offenlegen.

Warum es wichtig ist: Eine offene Verzeichnisauflistung lässt jeden Dateien durchstöbern und herunterladen, die Sie nie veröffentlichen wollten.

Fehler- & Debug-Lecks

Was wir prüfen: Wir lösen einen Fehlerzustand aus und suchen nach Stack-Traces und Debug-Ausgaben von ASP.NET, PHP, Python oder der Datenbank.

Warum es wichtig ist: Detaillierte Fehler verraten einem Angreifer Ihr Framework, Ihre Dateipfade und Ihre Abfragen — eine Anleitung für den nächsten Angriff.

Versions- & Banner-Lecks

Was wir prüfen: Wir lesen Identifikations-Header (Server, X-Powered-By, X-AspNet-Version) auf Softwarenamen und Versionsnummern.

Warum es wichtig ist: Das Offenlegen exakter Versionen lässt einen Angreifer Ihren Stack in Sekunden mit bekannten Exploits abgleichen.

Server- & API-Konfiguration

4 Checks

Wie Ihr Server auf Anfragen antwortet und was er über sich preisgibt.

HTTP-Methoden

Was wir prüfen: Wir prüfen, welche Methoden der Server anbietet, und testen die gefährliche TRACE-Methode.

Warum es wichtig ist: Gefährliche Methoden und TRACE ermöglichen Cross-Site-Tracing und ungewollte Schreibzugriffe auf Ihre Anwendung.

Cross-Domain-Policy-Dateien

Was wir prüfen: Wir prüfen auf zu großzügige crossdomain.xml- und clientaccesspolicy.xml-Dateien.

Warum es wichtig ist: Eine Platzhalter-Cross-Domain-Policy lässt Code fremder Websites Antworten lesen, die nur für Ihre Nutzer bestimmt sind.

CORS-Konfiguration

Was wir prüfen: Wir testen Ihre CORS-Richtlinie auf Platzhalter-Origins, gespiegelte Origins und Zugriff mit Anmeldedaten.

Warum es wichtig ist: Eine falsch konfigurierte CORS-Richtlinie kann jeder Website erlauben, Ihre authentifizierten API-Antworten im Namen des Besuchers zu lesen.

GraphQL-Introspektion

Was wir prüfen: Wir testen gängige GraphQL-Endpunkte darauf, ob die Schema-Introspektion öffentlich zugänglich ist.

Warum es wichtig ist: Offene Introspektion kartiert Ihre gesamte API — jeden Typ, jedes Feld, jede Mutation — für den Angreifer zum Studium.

E-Mail & Domain (DNS)

1 Checks

DNS-Einträge, die das Fälschen Ihrer Domain und Ihrer E-Mails verhindern.

E-Mail- & DNS-Einträge

Was wir prüfen: Wir lösen die DNS-Einträge der Domain auf — SPF, DKIM, DMARC, DNSSEC und CAA.

Warum es wichtig ist: Fehlende SPF/DKIM/DMARC bedeuten, dass jeder eine E-Mail senden kann, die aussieht, als käme sie von Ihrer Domain.

Veröffentlichungs-Hygiene

2 Checks

Kleine erwartete Dateien, die signalisieren, dass eine Website professionell betreut wird.

robots.txt

Was wir prüfen: Wir laden die robots.txt und prüfen, ob sie vorhanden ist und nicht versehentlich sensible Pfade preisgibt.

Warum es wichtig ist: Eine sinnvolle robots.txt lenkt Suchmaschinen; eine nachlässige kann genau die Pfade offenlegen, die Sie verbergen wollten.

security.txt

Was wir prüfen: Wir suchen nach /.well-known/security.txt mit gültigen Contact- und Expires-Feldern (RFC 9116).

Warum es wichtig ist: Eine security.txt gibt Forschern einen Weg, Ihnen eine Schwachstelle zu melden, statt sie zu veröffentlichen.

Sehen Sie Ihren eigenen Bericht in 60 Sekunden.

Jeder Check oben, ausgeführt gegen Ihre Site, mit der exakten Lösung für alles, was durchfällt — und ein erneuter Scan in 14 Tagen als Beweis der Verbesserung.

Meine Site scannen — $49/Mon.

Kündigung mit zwei Klicks · kein Vertrag