Endpunkte (Observer)

Welche Analysen Sie im Modul Endpunkte erhalten und wie diese zu interpretieren sind, erfahren Sie hier.

Übersicht

Der Observer steht für den “Blick von Außen”. Er untersucht, welche Informationen man alleine durch die Beobachtung Ihrer Endpunkte von außen gewinnen kann, ohne internen Zugang zu den Systemen zu haben. Die gewonnenen Informationen werden in den folgenden Komponenten präsentiert: Webseite, HTTP-Header, SSL/TLS, Redirects, Web Threat Intelligence (WTI) und PortScan.

Was ist ein Endpunkt?

Unter einem Endpunkt verstehen wir Domains, URLs, Hostnames, Webseiten, IP-Adresse, die von außen über das Netzwerk (z. B. Internet) erreichbar sind.

Einen neuen Endpunkt anlegen

Wie bei Enginsight ein Endpunkt angelegt wird, erklären wir in unserem Video: "Deine 5 ersten Schritte":

Endpunktinformationen

An dieser Stelle finden Sie Erklärungen zu jeder Komponente, den verwendeten Symbolen (Schlösser, Haken, etc.) und Hilfe bei der Interpretation der Informationen, die sich Ihnen bieten. Um über die Enginsight Plattform an die Informationen zu gelangen, die Ihnen der Observer liefert, klicken Sie im Top Menü auf “Endpunkte”.

Übersicht

Hier finden Sie einen Überblick über den Endpunkt aus der Vogelperspektive.

Klicken Sie auf das Bild, um es zu vergrößern

Webseite

Hier können Sie z.B. die Verfügbarkeit oder die Reaktionszeit ihrer Webseite beobachten.

Klicken Sie auf das Bild, um es zu vergrößern

HTTP-Headers

Über diese Komponente können Sie die gesetzten HTTP-Header analysieren. Grob gesagt, können Sie hier sehen, in wie weit Sie Vorkehrungen zum Schutz ihrer Besucher getroffen haben. Wenn Sie mehr über HTTP-Header erfahren möchten, schauen Sie doch einmal auf unseren Blogeintrag zum Thema HTTP.

Klicken Sie auf das Bild, um es zu vergrößern

Übersicht

  • Der “HTTP-Headers Security Score” gibt an, in wie weit Sie Vorkehrungen zum Schutz Ihrer Besucher treffen. Die beste Note ist A++ und die schlechteste Note ist ein F.

  • Unter “Letzter Bericht vom:” sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.

Beispielbild

Antwort-Header

Hier können Sie sehen, was Ihr Server in den Antwort-Headern an Informationen übermittelt:

Beispielbild

Name

Beschreibung

Server

Der Server-Header beinhaltet Informationen über die Software, die vom Ursprungsserver verwendet wurde. Diese Informationen sollten aus Sicherheitsgründen immer deaktiviert werden.

Set-Cookie

Der Set-Cookie HTTP-Header wird verwendet, um Cookies vom Server zum Browser zu übertragen. Wird eine HTTPS-Verbindung verwendet, sollte der “Secure”-Flag zum Einsatz kommen.

Zusätzliche Header

Unter “Zusätzliche Header” finden Sie die Header, die Sie aktiv setzen sollten, um die Sicherheit Ihrer Webseitenbesucher zu verbessern.

Beispielbild

In der folgenden Tabelle geben wir einen Überblick darüber welche das sind. Außerdem finden Sie hier den Score für jeden Header, wenn er nicht oder falsch gesetzt wurde und eine kurze Beschreibung des Headers. Darüber hinaus finden Sie eine Empfehlung, auf welchen Wert die Header gesetzt sein sollten, um die Besucher Ihrer Website optimal zu schützen. Manchmal gibt es auch ähnlich sichere Alternativen. Diese finden Sie in Klammern unter der Empfehlung.

Name

Empfehlung

Score

Beschreibung

Content-Security-Policy

B

Die HTTP Content-Security-Policy regelt welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können.

Expect-CT

max-age=0

B

Der Expect-CT (Certificate Transparency) HTTP-Header legt fest, wie die CT Policy angewandt werden soll.

Referrer-Policy

no-referrer-when-downgrade

B

Die Referrer-Policy stellt sicher, dass Referrer Informationen nur unter bestimmten Bedingungen gesendet werden dürfen.

Strict-Transport-Security

max-age=31536000;

includeSubDomains

F

Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-verschlüsselung als auch vor Session Hijacking schützt.

X-Content-Type-Options

nosniff

A

Der einzige definierte Wert “nosniff” untersagt dem Internet Explorer durch MIME-Sniffing einen anderen als den deklarierten Inhaltstyp zu bestimmen und anzuwenden.

X-Frame-Options

DENY

(SAMEORIGIN)

(ALLOW-FROM https://example.com/)

B

Die X-Frame-Options können verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder <object> rendern also einbetten darf.

X-XSS-Protection

1;

mode=block

B

Die X-XSS-Protection kann Browsern untersagen eine Zielseite zu laden, sofern eine Cross-Site Scripting (XSS) Attacke erkannt wird.

SSL/TLS

Über diese Komponente können Sie analysieren wie sicher ihre SSL/TLS- (also ihre verschlüsselte) Verbindung zu Ihrem Server ist.

Klicken Sie auf das Bild, um es zu vergrößern

SSL und TLS - Was bedeutet das?

SSL steht für Secure Socket Layer und ist ein Verschlüsselungsprotokoll, um Daten im Internet sicher zu übertragen. Die letzte Version von SSL war die Version 3.0 und anschließend wurde das Protokoll unter dem Namen Transport Layer Security oder kurz TLS weiterentwickelt, beginnend mit der Version 1.0. Auf die älteren Versionen von SSL und TLS sind mittlerweile einige Angriffe bekannt, welche die Sicherheit untergraben. Deswegen wird davon abgeraten diese Versionen zu verwenden. Der folgenden Tabelle können Sie entnehmen, welche das sind:

Version (Name auf der Plattform)

Erscheinungsjahr

Bemerkung

Icon

SSL 2.0 (SSLv2)

1995

Diese Version wird nicht mehr unterstützt und wird vom BSI nicht empfohlen.

SSL 3.0 (SSLv3)

1996

Diese Version wird nicht mehr unterstützt und wird vom BSI nicht empfohlen.

SSL 3.1 bzw. TLS 1.0 (TLSv1)

1999

Diese Version wird nicht mehr unterstützt und wird vom BSI nicht empfohlen.

TLS 1.1 (TLSv1.1)

2006

Diese Version wird noch unterstützt, wird aber vom BSI nicht mehr empfohlen. Das heißt neue Anwendungen sollten TLS 1.2 verwenden, aber bei Bestandssystemen kann TLS 1.1 noch verwendet werden, wenn zusätzliche Schutzmaßnahmen ergriffen wurden.

TLS 1.2 (TLSv1.2)

2008

Das ist die aktuelle Version von TLS. Sie wird vom BSI empfohlen.

TLS 1.3 (TLSv1.3)

2018

Übersicht

  • Der SSL/TLS Security Score gibt an, wie sicher Ihre verschlüsselte Verbindung zu Ihrem Server ist. Die beste Note ist A++ und die schlechteste Note ist ein F.

  • Überprüfung nach Art. 32 DSGVO zeigt Ihnen, ob die Sicherheit der Datenverarbeitung von personenbezogenen Daten nach aktuellem Stand der Technik gewährleistet wird. Ist dies der Fall, so erscheint dahinter ein grünes Schloss. Ansonsten sehen Sie ein orangenfarbenes Ausrufezeichen:

  • Unter BSI (Bundesamt für Sicherheit in der Informationstechnik) wird Ihnen angezeigt, ob die Sicherheit der Datenverarbeitung nach Maßgabe und Empfehlung des Bundesamts für Sicherheit in der Informationstechnik gewährleistet wird. Die Symbole sind dieselben wie oben.

  • Unter Letzter Bericht vom: sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.

Beispielbild

Unter dem Punkt DSGVO erscheint ein grünes Schloss, wenn Sie die Sicherheitsmindestanforderungen im Bereich SSL/TLS nach aktuellem Stand der Technik erfüllt haben. Aber Vorsicht, dies bedeutet nicht, dass Sie alle Sicherheitsvorgaben der DSGVO nach aktuellem Stand der Technik erfüllt haben.

Unter dem Punkt BSI richten wir uns nach den BSI Empfehlungen für neue Anwendungen und Systeme. Deswegen wird hier etwas strenger bewertet als bei der DSGVO. Denn für bestehende Software und Systeme gibt es bei der Sicherheit gewisse Übergangszeiten, in denen noch ältere Sicherheitsmethoden angewendet werden dürfen. Allerdings sollten in regelmäßigen Abständen Aktualisierungen durchgeführt werden. Es ist daher durchaus sinnvoll auch unter dem Punkt BSI ein grünes Schloss anzustreben.

Zertifikat

Unter diesem Punkt finden Sie allgemeine Angaben zu Ihrem Zertifikat.

Beispielbild

Sicherheitslücken

Hier finden Sie eine Auflistung der wichtigsten CVE-Sicherheitslücken, potentiellen Sicherheitslücken und Gefährdungen, die Ihnen im Bereich SSL/TLS begegnen könnten. Erklärungen dazu, was die CVE ist und was die CVE-Nummer bedeutet, finden Sie in den Begriffserklärungen.

Beispielbild

CVE-Sicherheitslücken

Da unsere Systeme für unsere Scans verschiedene Datenbanken nutzen, von denen alleine die CVE Datenbank aktuell 112364 Einträge enthält, können wir keine vollständige Auflistung aller Sicherheitslücken geben. Deswegen präsentieren wir Ihnen hier eine Auswahl der häufigsten und schwerwiegendsten Sicherheitslücken:

Name

CVE

SSL/TLS Security Score

Beschreibung

BEAST

CVE-2011-3389

B+

Ein Angreifer kann unter bestimmten Vorraussetzungen bspw. die Cookies einer verschlüsselten Verbindung ausspähen. Die Serversicherheit ist von diesem Angriff nicht betroffen. Mehr Informationen finden Sie auf unserem Blog unter BEAST.

CRIME

CVE-2012-4929

C++

CRIME steht für "Compression Ratio Info-Leak Made Easy" und erlaubt es, aus einer HTTPS-Verbindung beispielsweise Session-Cookies zu entschlüsseln.

DROWN

CVE-2016-0800

C++

Diese Attacke ermöglicht es Angreifern, die verschlüsselten Verbindungen zum Server zu kompromittieren. Die Ursache besteht in der Verwendung des SSLv2 Protokolls.

FREAK

CVE-2015-0204

B

Mit dieser Attacke lassen sich Browser zwingen, eine unsichere Verschlüsselung zu verwenden. So können Angreifer mit SSL/TLS geschützten Datenverkehr entschlüsseln.

Heartbleed

CVE-2014-0160

F

Die Heartbleed-Sicherheitslücke ist ein schwerwiegender Fehler in älteren Versionen der Open-Source-Bibliothek OpenSSL. Durch diesen Fehler können private Daten von Clients und Servern über verschlüsselte TLS-Verbindungen ausgelesen werden. Mehr Informationen zu diesem Angriff, finden Sie auf unserem Blog unter Heartbleed.

Logjam

CVE-2015-4000

B

Bei diesem Angriff können verschlüsselte Verbindungen durch eine Schwäche im TLS-Verfahren auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden.

CSS Injection

CVE-2014-0224

C++

Durch diese Sicherheitslücke, können verschlüsselte Daten abgefangen und entschlüsselt werden. Gleichzeitig können SSL Clients dazu gezwungen werden schwache Schlüssel zu verwenden, die dem Angreifer ausgesetzt sind.

POODLE

CVE-2014-3566

B

Mit diesem Angriff kann der Einsatz des veralteten SSLv3 Protokolls erzwungen werden. Verbindungen, die mit SSLv3 geschützt werden, lassen sich dechiffrieren. Mehr Informationen zu diesem Angriff, finden Sie auf unserem Blog unter POODLE.

ROBOT

CVE-2017-13099

C++

Dieser Angriff beruht darauf, dass Fehlermeldungen eines SSL-Servers Informationen über entschlüsselte Daten preisgeben. Mehr Informationen zu diesem Angriff finden Sie auf unserem Blog unter ROBOT.

SLOTH

CVE-2015-7575

C++

Diese Attacke erzwingt die Nutzung der unsicheren MD5 Hashfunktion.

Sweet32

CVE-2016-2183

C++

Dieser Kollisionsangriff beruht auf der veralteten Triple-DES-Chiffre. Es wird empfohlen diese zu deaktivieren. Mehr Informationen finden Sie auf unserem Blog unter Sweet32.

Supports RC4 Ciphers

CVE-2013-2566 CVE-2015-2808

C++

B

RC4 Chiffren gelten als unsicher. Es wird empfohlen diese Chiffren zu deaktivieren.

Gefährdungen & potentielle Sicherheitslücken

Enginsight prüft nicht nur auf bekannte ausnutzbare Sicherheitslücken, wir testen auch, ob es fehlerhafte Konfigurationen gibt, die sich zu Sicherheitslücken entwickeln könnten oder ob Gefährdungen anderer Art vorliegen. Auch hier können wir nicht alle beschreiben, aber einige populäre Beispiele sind:

Name

Score

Beschreibung

Certificate Hostname Mismatch

F

Der Domain Name ist nicht im Zertifikat enthalten.

Certificate Not Trusted (INVALID CA)

F

Der Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat, wird nicht vertraut.

Certificate Not Trusted (INVALID ISSUER)

F

Das Zertifikat wurde nicht von einer vertrauenswürdigen Quelle ausgestellt.

Certificate Subject Alternative Name Missing

F

Das Zertifikat enthält nur den Common Name. Der Support von Common Names in Zertifikaten wird eingestellt. Es werden bald nur noch Subject Alternative Names unterstützt.

Certificate Will Be Distrusted In Upcoming New Browsers

F

Google entzog ab Oktober 2018 allen Symantec-Zertifikaten das Vertrauen. Browser werden ab diesem Zeitpunkt anfangen die Zertifikate zu blockieren.

No Forward Secrecy

A

Das Bekanntwerden des Langzeitschlüssels führt dazu, dass auch vergangene Sitzungsschlüssel berechnet werden können. Forward Secrecy ist eine Eigenschaft kryptographischer Protokolle, die dies verhindert.

No Support for AEAD Ciphers

B++

AEAD Chiffren sind Betriebsmodi von Blockchiffren, die neben Vertraulichkeit auch Authentizität und Integrität sicherstellen. In TLS1.3 sind nur noch AEAD Chiffren zulässig.

No Support For Secure Renegotiation

B

Ohne die TLS-Erweiterung ‘Secure Renegotiation’ ist das SSL/TLS Protokoll anfällig für eine Attacke über die Session Renegotiation.

No Support For Session Resumption (Caching)

B+

Eine nicht aktivierte Session Resumption kann zu einer höheren CPU-Last führen. In besonderen Fällen ist eine DoS-Attacke auf die CPU möglich.

No Support For Session Resumption (Tickets)

A

Eine nicht aktivierte Session Resumption kann zu einer höheren CPU-Last führen. In besonderen Fällen ist eine DoS-Attacke auf die CPU möglich.

No Support For TLS_FALLBACK_SCSV

A

TLS_FALLBACK_SCSV verhindert das Erzwingen von SSL-3.0-Verbindungen. Zugleich wird ein Rückfall von TLS 1.2 auf eine TLS-1.1- oder TLS-1.0-Verbindung verhindert.

SHA1 In Certificate Chain

B

Die SHA1 Hashfunktion gilt als unsicher und sollte ersetzt werden.

SHA1 Signed Certificate

F

Die SHA1 Hashfunktion gilt als unsicher und sollte ersetzt werden.

Supports Anonymous Ciphers

F

Die Konfiguration des Servers unterstützt anonyme Cipher Suites ohne Schlüssel- Authentifikation. Solche Cipher sind sehr anfällig für “Man-in-the-Middle”-Angriffe.

Supports Client-Initiated Renegotiation

B

Wenn eine neue SSL Verbindung verhandelt wird, nutzt der Server meist wesentlich mehr CPU als der Client. Dies kann eine DoS-Attacke auf die CPU ermöglichen.

Supports Common DH Params

B++

Für den Schlüsselaustausch werden bekannte Diffie-Hellman Parameter genutzt. Es wird empfohlen diese Parameter neu zu definieren.

Supports Insecure Client-Initiated Renegotiation

F

Es wird ‘Client-Initiated Renegotiation’ unterstützt, aber keine ‘Secure Renegotiation’. Diese Zusammenwirkung erzeugt eine große Sicherheitslücke.

Supports MD5 Ciphers

B++

MD5 gilt als unsicher, es wird empfohlen diese Hashfunktion zu deaktivieren.

Supports Non-Compliant Encryption Standards (BSI)

B++

Die Verschlüsselung entspricht nicht der Maßgabe und Empfehlung des BSI.

Supports Non-Compliant Encryption Standards (DSGVO)

B

Die Verschlüsselung entspricht gegebenenfalls nicht den neuen Datenschutzbestimmungen nach Art. 32 DSGVO.

Supports Null Encryption

F

Der NULL-Algorithmus ist ein Algorithmus, der die Daten genau so ausgibt, wie sie eingegeben werden. Er sollte auf keinen Fall zur Verschlüsselung verwendet werden.

Supports Only Older Protocols

B

Es werden nur die Protokollversionen bis TLS 1.0 unterstützt und keine Höheren.

Supports Weak Ciphers

B+

Die verwendeten Chiffren entsprechen nicht dem aktuellen Mindestsicherheitsstandard Chiffren sollte mindestens eine Schlüssellänge von 128-bit aufweisen.

Supports Weak DH Params

B++

Für den Schlüsselaustausch werden schwache Diffie-Hellman Parameter genutzt. Die Mindestschlüsselgröße sollte 2048-bit nicht unterschreiten.

Supports Weak Elliptic Curve

F

Die verwendete Chiffre entspricht nicht dem aktuellen Mindestsicherheitsstandard. Verfahren mit elliptischen Kurven sollten mindestens eine Schlüssellänge von 250-bit aufweisen.

Supports Weak Protocols

C++

Die Protokolle SSL2, SSL3, sowie TLS 1.0 gelten als unsicher und sollten deaktiviert werden.

Supports Weak RSA Key

F

Die verwendete Chiffre entspricht nicht dem aktuellen Mindestsicherheitsstandard. Bei RSA sollte mindestens eine Schlüssellänge von 2000-bit verwendet werden.

Protokolle

Hier finden Sie eine Auflistung welche Versionen des SSL/TLS Protokolls von Ihrem Endpunkt unterstützt werden und welche nicht.

Beispielbild

Die Symbole vor den Protokollnamen haben die folgende Bedeutung:

Icon

Beschreibung

Das grüne Kreuz zeigt an, dass das entsprechende Protokoll nicht zur Kommunikation mit dem Endpunkt verwendet werden kann. Hier müssen Sie im Einzelfall beurteilen, mit welchen Protokollen man Ihren Endpunkt ansprechen können soll.

Das grüne Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann und, dass das Protokoll auch sicher ist. Hier besteht kein Handlungsbedarf.

Das orangenfarbene Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann, das Protokoll aber veraltet ist und bald durch eine neuere Version ersetzt werden sollte.

Das rote Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann, das Protokoll aber unsicher ist und schnellstmöglich durch eine neuere Version ersetzt werden sollte.

SSL/TLS Zertifikate mit Alarmen überwachen

Redirects

Hier können Sie Redirects analysieren. Z.B. wenn nach dem Umzug einer Website auf eine neue Domain überprüft werden soll, ob die automatische Weiterleitung noch funktioniert.

Klicken Sie auf das Bild, um es zu vergrößern

Web Threat Intelligence (WTI)

Über diese Komponente können Sie analysieren wie sicher Sie ihre Anwendungsumgebungen konfiguriert haben. Also ob z.B. SQL Injection oder Session Prediction möglich sind. Die WTI orientiert sich bei der Erkennung von Sicherheitslücken an den Maßgaben der OWASP. Die OWASP ist eine offene Community mit dem Ziel, Unternehmen und Organisationen dabei zu unterstützen, sichere Anwendungen zu entwickeln.

Klicken Sie auf das Bild, um es zu vergrößern

WTI: Die Symbole erklärt

Die Symbole hinter den Einträgen haben die folgende Bedeutung:

Icon

Bedeutung

Das grüne Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke nicht auf Ihrem System vorliegt. Hier besteht also kein Handlungsbedarf.

Das orangenfarbene Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke zwar auf Ihrem System vorliegt, es sich aber nicht um eine kritische Sicherheitslücke handelt. Trotzdem sollten Sie sich in naher Zukunft um das Problem kümmern.

Das rote Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke auf Ihrem System vorliegt und es sich um eine kritische Sicherheitslücke handelt. Hier sollten Sie schnellstmöglich handeln!

Das graue Fragezeichen zeigt Ihnen an, dass leider nicht ermittelt werden konnte, ob Ihr System für die entsprechende Sicherheitslücke anfällig ist.

Übersicht

  • Der “Web Threat Intelligence Score” gibt an, wie sicher Sie Ihre Anwendungsumgebung konfiguriert haben. Die beste Note ist A++ und die schlechteste Note ist ein F.

  • Unter “Letzter Bericht vom:” sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.

Beispielbild

Server

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihrem Server vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Der Zusatz Potenzielles Angriffsszenario (PA) zeigt Ihnen an, dass es sich hierbei um eine aktive Attacke handelt, die von einem Angreifer durchgeführt werden könnte. Im Folgenden finden Sie eine Tabelle mit den Punkten, die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Name

Bedeutung

Cross-Site-Tracing (PA)

Ermöglicht das Abfangen von sensiblen Benutzerinformationen. Mehr über diesen Angriff erfahren Sie auf unserem Blog unter Cross-Site-Tracing.

Directory Listing

Ermöglicht die automatische Auflistung von Dateien in einem bestimmten Verzeichnis.

HTTPS Unterstützung

Ermittelt, ob der Server eine gesicherte HTTPS-Verbindung aufbauen kann und ob diese vertrauenswürdig ist.

Beispielbild

Anwendungen

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihren Anwendungen vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Der Zusatz Potenzielles Angriffsszenario (PA) zeigt Ihnen an, dass es sich hierbei um eine aktive Attacke handelt, die von einem Angreifer durchgeführt werden könnte. Im Folgenden finden Sie eine Tabelle mit den Punkten, die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Namr

Beschreibung

Cross-Site-Scripting (PA)

Ermöglicht das Ausführen von Schadcode. Mehr über diesen Angriff erfahren Sie auf unserem Blog unter Cross-Site-Scripting.

SQL Injection (PA)

Eine SQL Injection kann über Eingabefelder einer Webseite Schadcode in Datenbankabfragen platzieren. Mehr über diesen Angriff erfahren Sie auf unserem Blog unter SQL Injection.

Session Prediction (PA)

Diese Attacke untersucht Session-Ids auf wiederkehrende Muster. Mehr über diesen Angriff erfahren Sie auf unserem Blog unter Session Prediction.

Fuzzy Redirects (PA)

Prüft die Webanwendung auf unvalidierte Weiterleitungen.

Aktiver Lebenszyklus (Supported)

Prüft, ob die Anwendung vom Hersteller noch unterstützt wird oder bereits das “End of Life” erreicht hat.

Backend erreichbar

Ermittelt, ob man auf die Administrationsoberfläche Ihrer Anwendung zugreifen kann.

Öffentliche API

Ermittelt, ob der öffentliche Zugriff auf die API Ihrer Anwendung möglich ist.

Beispielbild

Webseite

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihrer Webseite vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Im Folgenden finden Sie eine Tabelle mit den Punkten, auf die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Name

Beschreibung

Veraltete Dateien

Prüft die Anwendung auf veraltete Dateien, die potentielle Angriffe ermöglichen.

Malware

Prüft die Anwendung auf potentielle Malware, Backdoors oder sonstigen Infizierungen.

Domain auf Blacklist

Prüft, ob die Domain (oder IP) auf einer Blacklist gelistet ist.

Externe iFrames

Prüft, ob in Ihrer Seite externe iFrames eingebunden werden.

Ermittelte Umgebung

Hier finden Sie den Namen, Typ und wenn ermittelbar auch die Version ihrer verschiedenen Systemkomponenten. Die Einordnung erfolgt in: Domain Hosting (z. B. HostEurope oder Hetzner), OS (z. B. Linux), Server (z. B. Apache oder Amazon S3), Runtime (z. B. Java oder PHP), Application (z. B. TYPO3 oder Wordpress) und Framework (z. B. jQuery).

Beispielbild

CVE-Sicherheitslücken in der ermittelten Software

Falls in dieser Kategorie spezifische CVE-Sicherheitslücken gefunden wurden, dann finden Sie an dieser Stelle eine Auflistung der Schwachstellen.

Beispielbild

PortScan

Hier können Sie Ihre Ports analysieren. Grob gesagt, ob es möglich ist, über das Netzwerk sensible Informationen über den Zustand eines Computers zu erfahren.

Klicken Sie auf das Bild, um es zu vergrößern

Der Zertifikatsmanager

Zum Zertifikatsmanager gelangen Sie, indem Sie im Top Menü auf Endpunkte und dann im linken Sidebar Menü auf Zertifikatsmanager klicken. Hier finden Sie eine Übersicht Ihrer Zertifikate mit der Seriennummer (Serial), dem Aussteller (Issuer) des Zertifikats, den Alternative Names, eine Aufstellung in welchen Ressourcen das Zertifikat verwendet wird und wann das Zertifikat abläuft.

Klicken Sie auf das Bild, um es zu vergrößern

Berichte

Berichte sind Zusammenfassungen über Endpunkte, die in einem PDF ausgegeben werden. Sie können Berichte in den jeweiligen Endpunkten erstellen. Unter Endpunkte -> Berichte werden diese gesammelt dargestellt.

Um einen PDF Bericht für einen Endpunkt zu erstellen, gehen Sie im Top-Menü auf Endpunkte und wählen Sie anschließend den entsprechenden Endpunkt aus. Gehen Sie im linken Sidebar Menü zu Berichte.

Klicken Sie anschließend auf Report erstellen.

Warten Sie ein paar Sekunden, bis der PDF-Bericht erstellt wurde. Er wird auf Ihren PC heruntergeladen und in der Liste angezeigt.