Prüft, ob eine Website Autofill-Mechanismen missbrauchen könnte, um sensible Nutzerdaten abzugreifen.
Prüft, ob das Impressum alle gesetzlichen Anforderungen gemäß Digitales-Dienste-Gesetz (DDG) erfüllt.
Prüft, ob die Datenbank sicher konfiguriert ist und keine sensiblen Ports öffentlich zugänglich sind.
Prüft, ob ein veraltetes CMS oder Plugins verwendet werden.
Überprüft, ob PHP-Fehlermeldungen auf der Website angezeigt werden.
Prüft, ob die Website potenziell anfällig für SQL-Injection ist.
Prüft die Implementierung und Sicherheit von 2FA-Recovery-Codes.
Prüft, ob Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge aktiviert ist.
Prüft, ob Mechanismen zum Schutz vor Brute-Force-Angriffen implementiert sind.
Prüft, ob Zugriffe aus bestimmten Regionen blockiert oder eingeschränkt sind.
Überprüft, ob geschützte Bereiche durch schwache Passwörter oder fehlende Authentifizierung kompromittiert werden könnten.
Prüft, ob die Website sichere Anforderungen an Passwörter implementiert hat.
Analysiert API-Endpunkte auf fehlende Authentifizierung und Zugriffskontrolle.
Überprüft die Sicherheit der Session-ID-Generierung und -Verwaltung.
Prüft, ob sensible Bereiche während Nicht-Arbeitszeiten eingeschränkt sind.
Prüft, ob Nutzer Zugriff auf ihre personenbezogenen Daten gemäß DSGVO erhalten können.
Überprüft Passwortanforderungen und Schutzmaßnahmen gegen Brute-Force-Angriffe.
Überprüft, ob Backup- und Konfigurationsdateien öffentlich zugänglich sind.
Prüft, ob sensible Konfigurationsdateien öffentlich zugänglich sind.
Überprüft, ob Standardseiten wie /default.aspx oder /setup öffentlich zugänglich sind.
Prüft, ob die automatische Verzeichnisindizierung aktiviert ist.
Prüft, ob sensible Verzeichnisse wie /config oder /backup zugänglich sind.
Überprüft, ob die Website für Directory-Traversal-Angriffe anfällig ist.
Prüft, ob .env-Dateien öffentlich zugänglich sind.
Prüft, ob sensible Log-Dateien wie /var/log öffentlich zugänglich sind.
Überprüft, ob sensible Konfigurationsdateien wie .htaccess oder .env zugänglich sind.
Prüft, ob der X-Frame-Options-Header zum Schutz vor Clickjacking konfiguriert ist.
Prüft, ob CORS-Richtlinien korrekt konfiguriert sind.
Prüft, ob eine Content-Security-Policy (CSP) konfiguriert ist und ob sie wesentliche Sicherheitsrichtlinien enthält.
Prüft, ob HSTS (HTTP Strict Transport Security) aktiviert ist.
Prüft, ob bekannte unsichere oder veraltete JavaScript-Bibliotheken verwendet werden.
Prüft, ob die Website unsichere HTTP-Ressourcen über HTTPS lädt.
Überprüft, ob wichtige Sicherheitsheader wie Content-Security-Policy oder Permissions-Policy konfiguriert sind.
Prüft, ob externe Ressourcen mit SRI-Attributen gesichert sind.
Prüft, ob unsichere HTTP-Header wie X-Powered-By oder Server konfiguriert sind.
Überprüft, ob gefährliche HTTP-Methoden wie PUT oder DELETE aktiviert sind.
Prüft, ob der XSS-Schutz aktiviert ist.
Prüft, ob ein Einwilligungsmanagementsystem für Cookies und Tracking-Dienste vorhanden ist.
Analysiert die Implementierung von Einwilligungsmechanismen (Opt-in vs. Opt-out) und prüft deren DSGVO-Konformität.
11 Prüft die DSGVO-Konformität des Cookie-Banners einschließlich Opt-in-Mechanismen.
Prüft, ob Cookies sicher konfiguriert sind (Secure, HttpOnly, SameSite).
Prüft, ob Formulare nur die minimal notwendigen Daten erheben.
Prüft, ob ein Verzeichnis von Verarbeitungstätigkeiten vorhanden ist.
Prüft, ob personenbezogene Daten an Server außerhalb der EU übertragen werden.
Prüft, ob IP-Adressen bei Tracking-Tools wie Google Analytics anonymisiert werden.
Prüft die Datenschutzerklärung auf Vollständigkeit und DSGVO-Konformität.
Prüft, ob Mechanismen zur Löschung personenbezogener Daten auf Anfrage implementiert sind.
Prüft, ob Nutzer die Möglichkeit haben, das Tracking durch Drittanbieter abzulehnen.
Analysiert die Erreichbarkeit von Webseiteninhalten unter Berücksichtigung von Cookie-Bannern und Consent-Mechanismen.
Erkennt manipulative Designmuster (Dark Patterns) in der Benutzeroberfläche.
Prüft Webseiten auf die Verwendung von gendergerechter Sprache.
Analysiert die Performance und Ladezeiten der Website.
Prüft grundlegende WCAG 2.1 Kriterien wie Bildtexte, Kontraste und Überschriftenhierarchie.
Überprüft, ob DNSSEC aktiviert ist, um DNS-Spoofing-Angriffe zu verhindern.
Prüft Domains auf möglichen Missbrauch mittels verschiedener Mehoden.
Prüft, ob die Domain ausreichend gegen Domain Hijacking geschützt ist und EPP-Zugriffe eingeschränkt sind.
Prüft auf ungesicherte oder öffentliche FTP-Zugänge.
Prüft Domains auf IDN Homograph Angriffe und ähnlich aussehende Zeichen
Prüft, ob der Server sensible Informationen preisgibt.
Prüft, ob SSH-Dienste sicher konfiguriert sind, z. B. keine veralteten Protokolle oder Root-Login erlaubt.
Analysiert den verwendeten Technologie-Stack und prüft auf bekannte Sicherheitslücken
Prüft, ob externe Skripte sicher eingebunden sind und Subresource Integrity (SRI) nutzen.
Prüft, ob HTML-Formulare unsichere Methoden wie GET anstelle von POST verwenden.
Validiert die Sicherheit von JSON Web Tokens.
Prüft, ob offene Weiterleitungen vorhanden sind.
Prüft, ob APIs und Formulare vor Brute-Force-Angriffen geschützt sind.
Prüft, ob eine sichere Referrer-Policy verwendet wird.
Prüft, ob die Website HTTPS verwendet und die Daten sicher verschlüsselt sind.
Prüft, ob veraltete SSL/TLS-Protokolle verwendet werden.
Prüft, ob personenbezogene Daten verschlüsselt übertragen werden.
Prüft, ob die Website ein gültiges SSL/TLS-Zertifikat verwendet, das nicht abgelaufen ist und sichere Verschlüsselung bietet.
Prüft, ob der Hostname mit den im SSL/TLS-Zertifikat definierten Domains übereinstimmt.
Prüft, ob die Website eine sichere SSL/TLS-Konfiguration verwendet.
Prüft, ob sichere TLS-Verschlüsselungssuites verwendet werden.
Überprüft, ob veraltete oder unsichere Verschlüsselungsalgorithmen wie RC4 oder MD5 im TLS-Stack verwendet werden.
Prüft die Website auf kulturelle Sensibilität, inklusive Sprache und barrierefreie Kommunikation für verschiedene Gruppen.
Analysiert die Umweltauswirkungen der Website durch Prüfung von Datentransfer, Ressourcennutzung und Energieeffizienz.
Prüft auf Funktionen, die digitales Wohlbefinden beeinträchtigen oder süchtig machendes Verhalten fördern können.
Stellt sicher, dass Entwicklungs- und Testumgebungen nicht öffentlich zugänglich sind.
Identifiziert eingebundene Third-Party-Tracker und analysiert deren Datenschutz-Relevanz.