SecureScanSecurity Audit Tool
Authorisiertes Security-Audit-Tool

Schwachstellen finden, bevor es Angreifer tun.

SecureScan kombiniert dynamische OWASP-Top-10-Detection-Tests gegen autorisierte Webanwendungen mit statischer Quellcode-Analyse für Node.js, Python & PHP – inklusive PDF-Audit-Report.

Scan starten Historie ansehen
securescan-cli
$ securescan --target https://example.com
[+] HTTP-Verbindung etabliert
[+] Security-Header analysieren …
[+] SQL-Injection / XSS-Probes …
[+] CSRF / Path-Traversal prüfen …
[+] Sensitive Data & Misconfig …
[+] Information Disclosure …
[✓] 10 Tests abgeschlossen
[✓] Report bereit (HTML & PDF)

Neuen Scan starten

Führt 10 OWASP Detection-Tests gegen die Ziel-URL aus.

Für SQL-Injection- und XSS-Tests sollte die URL Parameter enthalten (z. B. ?id=1).

Passive Detection · keine Exploits
// URL-Scan

10 OWASP-Tests in einem Durchlauf

SQL-Injection-Erkennung

Probes gegen URL-Parameter mit Erkennung typischer DB-Fehlermuster (MySQL, PostgreSQL, MSSQL, SQLite, Oracle).

XSS Detection

Reflektierte Marker-Payloads erkennen unencodierte Eingaben in HTML-Antworten.

Broken Authentication

Cookie-Flags (HttpOnly, Secure, SameSite), CSRF-Token-Heuristik und unsichere Auth-Schemata.

Security Headers

CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer- und Permissions-Policy.

SSL/TLS-Konfiguration

HTTPS-Erzwingung, Redirect-Verhalten und Validierung des Server-Zertifikats.

CSRF-Prüfung

State-changing Endpunkte ohne CSRF-Token, fehlende SameSite-Attribute und Origin-/Referer-Prüfung.

Path Traversal & LFI

Prüfung auf Directory-Traversal-Muster und versehentlich freigelegte Server-Pfade.

Sensitive Data Exposure

Identifiziert offen übertragene Tokens, Schlüssel oder personenbezogene Daten in Antworten.

Security Misconfiguration

Stack-Traces, Debug-Endpunkte, Default-Pages und freigelegte Admin-Routen.

Information Disclosure

Versionsangaben, Server-Banner, sensible Kommentare und ungewollte Metadaten.

// Code-Analyse

Statische Analyse für Source-Code

Hardcodierte Secrets

Erkennt AWS-Keys, private RSA/PEM-Keys, JWT-Secrets und API-Tokens im Quellcode.

SQL-Injection-Muster

String-Konkatenation in SQL-Queries für Node.js, Python und PHP.

Eval/Exec & Code-Execution

eval(), exec(), child_process, shell=True – typische Code-Execution-Risiken.

Path Traversal

Datei-Operationen mit unvalidierten User-Inputs und gefährliche Deserialisierung.

Schwache Crypto

MD5, SHA-1, DES, RC4 sowie unsichere Zufallsgeneratoren für sicherheitsrelevante Zwecke.

PDF & HTML Reports

Audit-Reports als HTML oder PDF – inklusive Datei-Pfaden, Zeilen und Code-Snippets.

// API-Endpoint-Scan

REST-APIs auf Schwachstellen prüfen

8 Tests pro Endpoint – manuell konfiguriert oder automatisch aus OpenAPI/Swagger-Spec importiert. Unterstützt Bearer-Tokens, API-Keys und Basic Auth.

Auth-Bypass

Probes ohne Token sowie mit ungültigem Token erkennen unzureichend geschützte Endpoints.

CORS-Analyse

Wildcard-Origin, Origin-Reflection und Wildcard + Credentials werden gezielt geprüft.

HTTP-Methoden

TRACE, CONNECT und unsichere Allow-Header werden auf jeden Endpoint angewendet.

Sensitive Data in Responses

JWTs, AWS-Keys, bcrypt-Hashes und Passwort-Felder in API-Antworten werden erkannt.

Verbose-Errors & Header

Stack-Traces, fehlende Security-Header sowie Server-/X-Powered-By-Disclosure.

OpenAPI-Import

Spec via URL oder JSON einfügen – bis zu 25 Endpoints automatisch ableiten und scannen.

// Letzte Scans

Aus deiner Scan-Historie

Alle anzeigen