Kostenlos Webseitensicherheit überprüfen

#1 Hallo,
der Dienst "Web Scan Service" von www.german-websecurity.com/de/ überprüft kostenlos Webseiten auf Sicherheitslücken.

Die Testsignaturen gehen von unverschlüsselten Anmeldungen (kein SSL) bis hin zu Programmierfehler bei Webanwendungen die einem xss, sql injection oder ähnliches ermöglichen.

Nach den zahlreichen Meldungen über unsicheren und gehackten Webseiten empfehle ich jedem Webseitenbesitzer ein schnellen und kostenlosen Test.

Die Überprüfung sowie die Ausgabe von Sicherheitslücken erfolgen in Echtzeit.

Das betriebssystem unabhängige Einrichten einer Überprüfung (Scan) erfolgt online, ganz ohne ein Installationsbedarf einer Software.

#2 ...funktioniert bei mir leider nicht, hab mich da versucht mit einer GMX E-Mail zu registrieren, hab allerdings weder eine Bestätigungsemail bekommen, noch kann ich mich mit E-Mail und Passwort einloggen.

Würde das gerne mal testen!

P.S. interessante Dienstleistung: http://www.german-websecurity.com/de/produkte/passwort-wiederherstellung/produktinformationen/uebersicht/

#3 hm...

Lesen Sie vor der Registrierung die EULA (End-User-License-Agreement / Endbenutzerlizenzbestimmungen).

EULA [ ] Ich habe die EULA gelesen und akzeptiere diese. *


*klick*

[______________________________ ]

Komische EULA, könnte an meinem Proxy/Browser liegen, bleibt jedoch genauso leer, wenn ich keinen Proxy und einen anderen Browser verwende. Wenn ich das ganze in englisch versuche, soll ich auch die EULA lesen und bestätigen, aber der Link dahin fehlt. Also lasse ich die Finger davon.

Gruß
Faun

#4 @Faun bei mir ist die EULA auch leer, vermutlich entwickeln die noch.

mal sehen ob wir Feedback bekommen!

#5 @Laserpointa versuch doch einen anderen Emailanbieter gmx verschluckt ganz gern mal Emails oder schmeisst Sie in den Spambereich rein, die Bestätigungsemail wird direkt nach der Registrierung verschickt.

GWS ist noch ziemlich neu, bei den News sieht man das der interne Bereich keine zwei Wochen alt ist, also sollte man es nicht ganz so schlecht sehen wenn es an manchen Stellen noch ein wenig hängt.

Die EULA bzw. Nutzungsbedingungen sind aufjedenfall mittlerweile auch hinterlegt.

#6 vielen Dank für das Feedback, ich probiere es nocheinmal.

Ich hoffe ihr beachtet XSS Tests erst am Ende auszuführen, da viele Webserver inzwischen Suhosin verwenden (z.B. all-inkl.com) und die IP beim ersten XSS Versuch blockieren würden.

#7 Das Scanverhalten geht nach dem Prinzip, wenn eine (neue) Seite gefunden wurde dann wird diese auf alle Sicherheitslücken getestet.

Für leute die Suhosin im Einsatz haben gäbe es die möglichkeit die Invasiven Tests abzuschalten.

Allerdings empfehle ich dann doch Suhosin und ähnliche Schutzmechanismen für ein gutes Resultat abzuschalten, wenn möglich.

#8 Tja, wenn jetzt noch das Login auf der Seite funktionieren würde...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 Grüße euch!
Bitte lest euch vor der Registrierung diese Seite durch:

http://www.german-websecurity.com/de/produkte/web-scan-service/produktinformationen/wie-komme-ich-zu-meinem-scan/

Im 3. Schritt werden die EINMALIGEN 99 EURO gerechtfertigt -.-.

Bei mir funktionierte die Anmeldung auch nicht...
Wer weis ob überhaupt ein Ergebnis zu sehen sein wird, falls man den Test durchführt.

Die "wohnen" allerdings bei mir in der Nähe. Sollte das so ne Abzocke werden, fahr ich mal hin

mfg

#10 Es handelt sich nicht um eine Abzocke, das Scannen ist völlig kostenfrei .

Es wird angezeigt welche Sicherheitslücken man hat und wieviele davon, dannach kann man den kompletten Bericht mit allen details ( wo sich die Lücken befinden und wie die Lücke ausgenutzt wurde ) für 99€ über paypal kaufen oder halt nicht.

Es gibt auch ein Guest Account und einen Demobereich mit einem gekauten Scan bei dem WebScanService-Menüpunkt, der Gast Account ist allerdings nur auf der englischen Seite vorhanden.

#11 Hallo,

ich würde das Programm auch gerne nutzen, bekomme aber beim Aufruf der Seite eine Sicherheitswarnung. Wie kann das sein?

herzliche Grüße
Schneeball

#12 Hi ich hab den Test auch gemacht, die sagen dir dann Sie haben 20 Sicherheitslücken und das wars. Wenn du wissen willst welche das sind dann musst du 199 euro zahlen.

Alternative: infected-web.de (40 Euro)

#13 Es sind nur 99 euro und keine 199 wenn man denn wirklich einen Bericht kaufen möchte.

Im gegensatz zu dem infected-web, kriegt man zudem zugriff zu einem Online-Scandienst wo man 100 verschiedene Einstellungen vornehmen kann, wenn man möchte.

Mir reichts glückerweise auch einfach mal zu schaun ob ich was habe und ich konnte auch schon ohne den Report meine Lücken fixen (testpage/phpinfo found ist ja selbsterklärend).

Außerdem sieht man live wie eine Webseite gescannt wird, sehr erfahrener Support kann kostenlos telefonisch bei der einrichtung einer Überprüfung helfen und zum schluss bekommt man kostenlos ein Zertifikat bzw. Siegel.

In meinen Augen investiere ich zum Schluss halt lieber 99 euro für einen Bericht bei einem Anbieter der sich mit dem Thema "Web Security" sehr gut auskennt, als bei einem weiterem pseudo Security-Consultant der lediglich abkassiert und dir irgendwann mal sein Report mit einem vermutlich eher schlechten Ergebnis von einen Software-Scanner (das seh ich ja schon an den Bild) per email zukommen lässt.

Das man bei dir nur 20 Sicherheitslücken gefunden hat, ist gut für dich, doch das ist sicher von Webseite zur Webseite unterschiedlich, da kann sicher auch mal weitaus mehr bei herauskommen.

Langfristig wird sich denk ich, GWS wohl durchsetzen und vielleicht neben VeriSign vielleicht sehr bekannt sein, sieht man ja allein an der Statistik das es langsam Berg auf geht :X, solche kostenlosen Dienste setzen sich häufig durch.

#14 Vielleicht. Aber:

- Viele Leute dürften wohl mit den ganzen Einstellungen überfordert sein.
- In meinen Augen ist German Websecurity auch nur ein Pseudo kostenloser Dienst. Da man aus 99 % der Ergebnisse eben nicht schliessen kann um welche Sicherheitslücken es sich handelt und am Ende den Bericht kaufen muss.
- Es ist sehr bemerkenswert das du einem Programm schon durch ein Photo ansiehst das es schlecht ist.

Aber das muss jeder für sich Entscheiden.

#15 Naja man muss die ganzen Einstellungen ja nicht vornehmen, die sind ja erst sichtbar nach klicken auf den Button "erweiteren einstellungen".

Man erkennt durchaus um welche Sicherheitslücken es sich handelt (werden ja kostenlos genannt), die Signaturdatenbank ist zudem öffentlich zugänglich ( wenn man nicht weiß worum es sich bei der Sicherheitslücke handelt ) und zum Schluss kann man den Bericht kaufen, wenn man halt wissen will in welcher Datei sich die Sicherheitslücke befindet.

Das Programm halte ich nicht für schlecht doch wie lange bzw. ob es schritt halten kann mit einem Onlinedienst der kontinuirlich neue Signaturen kriegt und an Kundenwünsche angepasst wird, sei mal dahingestellt.
Zudem ist das Programm auch nur sogut, wie die Person die sie bedient (ich denke da auch an die Authentifizierung, Rewrite usw.), da kommt es natürlich wieder sehr gut, dass man da den kostenlosen Support für die Einrichtung eines scans in anspruch nehmen kann und nicht nur eine URL angeben muss.

Letztendlich wird sich in meinen Augen ein Onlinedienst wo man live alles sieht, in kürzester zeit ein Scan aufsetzen kann, der User selber hand anlegen kann und sofort Support bekommt eher durchsetzen als ein online Consultant dem man nur seine URL gibt und irgendwann sein Report per Email bekommt.
Wäre für infectedweb sicher besser gewesen eine eigene Scan-Appliance als Provider von GWS zu leasen oder im internen Bereich den Resellerbereich anzuschauen, als eine teure Software für mehrere tausend euro zu kaufen.