Schwachstellen finden, bevor es Angreifer tun.
SecureScan kombiniert dynamische OWASP-Top-10-Detection-Tests gegen autorisierte Webanwendungen mit statischer Quellcode-Analyse fuer Node.js, Python & PHP und API-Endpoint-Scanning – inklusive PDF-Audit-Report.
100 % kostenlos
Alle Scans, Reports und Funktionen sind vollstaendig kostenlos nutzbar – ohne versteckte Kosten oder Limits.
3 Scan-Typen
URL-Scan (10 OWASP-Tests), statische Code-Analyse und API-Endpoint-Scan – alles in einem Tool.
Detaillierte Reports
Schweregrad-Dashboard, PDF-Export, CSV-Historie und Diff-Vergleich zwischen zwei Scans.
Persoenliche Historie
Jeder User hat seine eigene, geschuetzte Scan-Historie – andere Nutzer sehen deine Ergebnisse nicht.
In 3 Schritten zum Audit-Report
Ziel eingeben
URL eingeben, Code-Dateien hochladen oder API-Endpoints konfigurieren (manuell oder via OpenAPI-Spec).
Scan ausfuehren
SecureScan fuehrt bis zu 10 Tests pro Ziel durch – passiv, ohne exploitative Payloads. Dauer: typisch 5–20 Sekunden.
Report analysieren
Interaktives Dashboard mit Score, Schweregrad-Verteilung und allen Befunden. Export als HTML oder PDF.
Was ein typischer Scan findet
Das folgende Beispiel zeigt typische Befunde eines URL-Scans gegen eine Standard-Webanwendung. Jeder Befund enthaelt Schweregrad, OWASP-Kategorie und konkrete Handlungsempfehlungen.
Jetzt anmelden & scannen
Melde dich kostenlos an, um Security-Scans durchzufuehren, Reports zu erstellen und deine Scan-Historie einzusehen.
10 OWASP-Tests in einem Durchlauf
SQL-Injection-Erkennung
Probes gegen URL-Parameter mit Erkennung typischer DB-Fehlermuster (MySQL, PostgreSQL, MSSQL, SQLite, Oracle).
XSS Detection
Reflektierte Marker-Payloads erkennen unencodierte Eingaben in HTML-Antworten.
Broken Authentication
Cookie-Flags (HttpOnly, Secure, SameSite), CSRF-Token-Heuristik und unsichere Auth-Schemata.
Security Headers
CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer- und Permissions-Policy.
SSL/TLS-Konfiguration
HTTPS-Erzwingung, Redirect-Verhalten und Validierung des Server-Zertifikats.
CSRF-Pruefung
State-changing Endpunkte ohne CSRF-Token, fehlende SameSite-Attribute und Origin-/Referer-Pruefung.
Path Traversal & LFI
Pruefung auf Directory-Traversal-Muster und versehentlich freigelegte Server-Pfade.
Sensitive Data Exposure
Identifiziert offen uebertragene Tokens, Schluessel oder personenbezogene Daten in Antworten.
Security Misconfiguration
Stack-Traces, Debug-Endpunkte, Default-Pages und freigelegte Admin-Routen.
Information Disclosure
Versionsangaben, Server-Banner, sensible Kommentare und ungewollte Metadaten.
Statische Analyse fuer Source-Code
Hardcodierte Secrets
Erkennt AWS-Keys, private RSA/PEM-Keys, JWT-Secrets und API-Tokens im Quellcode.
SQL-Injection-Muster
String-Konkatenation in SQL-Queries fuer Node.js, Python und PHP.
Eval/Exec & Code-Execution
eval(), exec(), child_process, shell=True – typische Code-Execution-Risiken.
Path Traversal
Datei-Operationen mit unvalidierten User-Inputs und gefaehrliche Deserialisierung.
Schwache Crypto
MD5, SHA-1, DES, RC4 sowie unsichere Zufallsgeneratoren fuer sicherheitsrelevante Zwecke.
PDF & HTML Reports
Audit-Reports als HTML oder PDF – inklusive Datei-Pfaden, Zeilen und Code-Snippets.
REST-APIs auf Schwachstellen pruefen
8 Tests pro Endpoint – manuell konfiguriert oder automatisch aus OpenAPI/Swagger-Spec importiert. Unterstuetzt Bearer-Tokens, API-Keys und Basic Auth.
Auth-Bypass
Probes ohne Token sowie mit ungueltigem Token erkennen unzureichend geschuetzte Endpoints.
CORS-Analyse
Wildcard-Origin, Origin-Reflection und Wildcard + Credentials werden gezielt geprueft.
HTTP-Methoden
TRACE, CONNECT und unsichere Allow-Header werden auf jeden Endpoint angewendet.
Sensitive Data in Responses
JWTs, AWS-Keys, bcrypt-Hashes und Passwort-Felder in API-Antworten werden erkannt.
Verbose-Errors & Header
Stack-Traces, fehlende Security-Header sowie Server-/X-Powered-By-Disclosure.
OpenAPI-Import
Spec via URL oder JSON einfuegen – bis zu 25 Endpoints automatisch ableiten und scannen.