Heartbleed Schwachstellentests

Überprüfen Sie jede Webserver-Fehlkonfiguration in Ihrem Server und vermeiden Sie Heartbleed-Schwachstellen in jedem SSL/TLS-Zertifikat.

Auf SSL Heartbleed prüfen

14 Tage kostenlos testen. Keine Kreditkarte erforderlich.

OpenSSL-Angriffsvektoren in Ihrer API / REST API oder Webanwendung automatisch erkennen
Umfassende Berichte mit Lösungen zur Behebung jeder Schwachstelle und Integration mit mehr als 20 Systemen und Tools
Schnelle Sicherheitsbewertung mit wenigen False Positives
Automatisierte Online SaaS Heartbleed Schwachstellentests

Funktionen

Scanner Funktionen von denen Sie profitieren

Die Erkennung von Eindringlingen und die Bewertung der tatsächlichen Ausnutzungsversuche und Erfolge des Heartbleed-Problems sind eine Herausforderung, da die Angriffe keine Spuren in den Protokollen hinterlassen. Mit Crashtest Security haben Sie jetzt eine schnelle und einfache Möglichkeit, diese Probleme zu vermeiden, indem Sie Ihre Web-App absichern.

14 Tage gratis testen

Zeitlicher Plan

Zeitplan für Scans erstellen

Konfigurieren

Credentials konfigurieren (System und Anwendung)

CI-Integration

Erstellen Sie einen Webhook und starten Sie einen Scan über die CI-Integration

Benachrichtigungen einstellen

Chat-Benachrichtigung einbinden (z.B. Slack)

Berichte erhalten

Erhalten Sie ausführliche Berichte mit Empfehlungen zur Behebung

Nutzen

Vorteile des Heartbleed Bug Tests

Laden Sie PDF-, JSON/XML- und CSV-Berichte herunter und geben Sie sie mühelos an Kollegen, Führungskräfte und Kunden weiter.
Verringern Sie Ihre Anfälligkeit für Hackerangriffe und schützen Sie Ihre Benutzer vor den OWASP Top 10 Sicherheitslücken.
Scannen und bewerten Sie die Sicherheit von Komponenten Dritter in Ihrer Online-Anwendung.
Analysieren Sie die Sicherheit von APIs und Microservices mit einem automatisierten Tool.
Integrieren Sie unseren Schwachstellen-Scanner ganz einfach in Ihren Entwicklungsprozess und Workflow.

Berichte

Heartbleed-Bug-Berichte

Der Heartbleed-Report zeigt, wie unser automatisiertes Tool API-Schwachstellen testet, findet, klassifiziert und deren Behebung empfiehlt und dabei stundenlange Sicherheitsprüfungen durch Menschen und Kosten für Pentests spart.

Bericht holen

Umfassende Schwachstellenerkenntnisse

Der Bericht beginnt mit einer Übersicht über die Schwachstellen des Scan-Ziels, dem Schweregrad der aufgedeckten Schwachstellen und einer Checkliste der ausgenutzten Angriffsvektoren und des Scanner-Status.

Ratschläge zur Behebung

Zu jeder entdeckten Schwachstelle gibt es eine Risikokategorisierung, eine Erklärung und Empfehlungen zur Behebung des Problems.

Checkliste der gefundenen Schwachstellen

Zur Übersicht darüber, welche Schwachstellen bereits behoben oder gemeldet wurden.

Kontinuierliche Sicherheit

Weitere Gründe für kontinuierliche Heartbleed-Bug-Tests

Automatisiertes Pentesting

Führen Sie regelmäßig Black-Box Pentests für Ihre Web-Assets durch und sparen Sie sich die Kosten für unregelmäßige manuelle Penetrationstests.

Cybersecurity-Risikos verringern

Vergleichen Sie Ihre geplante Version mit den OWASP Top 10 und anderen bekannten Sicherheitslücken.

Scans terminieren

Passen Sie das Scannen von Sicherheitslücken an Ihren agilen Entwicklungszyklus an.

Konformität gewährleisten

Scannen Sie jede neue Version vor der Einführung und stellen Sie die Einhaltung von Vorschriften und Standards (HIPAA, GDPR, ISO und viele mehr) sicher.

Sicherheitslücken schneller erkennen

Erkennen und entschärfen Sie Schwachstellen schneller, indem Sie Ihre Web-Assets regelmäßig scannen.

Integrierte Entwicklungspipeline

Integrieren Sie Schwachstellen-Scans in Ihre Entwicklungsprozesse und -umgebung und verlagern Sie die Sicherheit nach links.

Was ist der Heartbleed Bug?

Sie ermöglicht es Angreifern, den privaten Schlüssel eines Serverzertifikats zu stehlen. Cyberkriminelle können den privaten Schlüssel erlangen und sich als Server ausgeben, wenn die Serverversion für Heartbleed anfällig ist. Die Folgen können katastrophal sein, da sichere Verbindungen zum Server nicht mehr möglich sind und die Gefahr besteht, dass persönliche Daten preisgegeben werden.

Was ist ein Heartbleed Test?

Wir bieten Ihnen Heartbleed Testing mit einem unkomplizierten Ansatz:

Entwickler sparen rund 100 Stunden pro Jahr ein, da sich der Aufwand für die Testeinrichtung und die Abhilfemaßnahmen direkt im Scan-Bericht verringern.
Sparen Sie durchschnittlich 40 % Ihres Testbudgets und ermöglichen Sie eine konstante Transparenz der Sicherheitslage bei gleichzeitiger Verringerung Ihrer Gefährdung.

Note: Es ist wichtig, dass Sie die Berechtigung zum Einrichten des Heartbleed Scanners besitzen und haben. Das API-Tool kann verschiedene HTTP-Anfragen generieren, die als Angriffe gewertet werden können (auch wenn sie harmlos sind), also bedenken Sie, dass Sie die Berechtigung benötigen, um diesen Scanner auszuführen.

Wie funktioniert der Heartbleed Scanner?

OpenSSL kann verwendet werden, um eine verschlüsselte Verbindung zwischen zwei Computern herzustellen. Um sicherzustellen, dass beide Computer während der Kommunikation verfügbar sind, bietet der SSL-Standard ein Protokoll namens Heartbeat. Der Heartbeat sorgt dafür, dass beide Seiten überprüfen können, ob die Verbindung zur anderen Seite noch offen ist.

Beim Senden eines Heartbeats sendet eine der beiden Seiten eine geheime Nachricht, einschließlich der Länge der Nachricht. Wenn die andere Seite diese Nachricht erhält, antwortet sie mit der gleichen geheimen Nachricht.

Beispiel: Computer 1 sendet einen Heartbeat mit der geheimen Nachricht „crashtest“ und der Länge 9. Der zweite Computer empfängt diese Nachricht und antwortet mit „crashtest“.

Die Heartbleed Schwachstelle trat auf, weil die Länge der geheimen Nachricht nicht validiert wurde. Das heißt, wenn der Absender der Verbindung das Geheimnis „crashtest“ und die Länge 100 sendet, würde der Empfänger mit 100 Zeichen aus seinem lokalen Speicher antworten. Da im lokalen Speicher sensible Daten gespeichert sind, könnte ein Angreifer diese Sicherheitslücke ausnutzen und diese sensiblen Daten extrahieren.

Wieso sollte ich auf Heartbleed Angriffe testen?

Die Heartbleed Sicherheitslücke sollte ernst genommen werden, da sie leicht auszunutzen ist. Diese Schwachstelle ist seit langem bekannt, und es war schwierig, Angriffe zu erkennen. Die Schwachstelle betrifft die Protokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security), die für die sichere Kommunikation und den Schutz der Privatsphäre bei einer Vielzahl von Online-Diensten wie Web, E-Mail und Instant Messaging verwendet werden. Sie verleitet Webserver dazu, in ihrem Speicher gespeicherte Daten zu senden, wodurch verschiedene sensible persönliche Daten und Inhalte offengelegt werden.

Andere Arten von Schwachstellen, die Sie finden könnten, sind:

Schwachstellen, die eine Neukonfiguration erfordern

TLS Session Resumption
Certificate Revocation
Vertrauenswürdige Zertifikate
HSTS
Missing SSL CAA record
Sichere Cookies
TLS-Konfiguration
TLS-Zertifikate
LUCKY13
CRIME
BREACH-Angriff
TLS-Verschlüsselung
Perfect Forward Secrecy
TLS-Schlüssellänge
Deprecated SSL Protocol Versions
SSL Cipher Order
TLS Warnungen
Sicherheits-Headern

Spezifische Zertifikatsschwachstellen

Abgeschwächt in den neuesten Versionen

TLS_FALLBACK_SCSV
SSL Renegotiation
CCS Injektion

Wie kann ich einen Heartbleed Test durchführen?

Einrichten und Scannen in weniger als 2 Minuten.

Prüfen Sie das schnellste Setup auf dem Markt. Nachdem Sie sich registriert haben, erstellen Sie ein API- oder Microservices-Scan-Ziel, verifizieren die Eigentümerschaft und führen einen Quick oder Full Scan durch. Wir scannen Ihre Webanwendung und erstellen einen Bericht mit allen gefundenen Schwachstellen.
Erhalten Sie exzellente Unterstützung von unseren Security Experten.
Erhalten Sie exzellente Unterstützung von unseren Security Experten.
Wir verifizieren Ihren API-Test, um sicherzustellen, dass Sie unser Schwachstellen-Tool korrekt eingerichtet haben.
Testen Sie auf alle OWASP Top 10 Schwachstellen.
Sie erhalten genaue Informationen über die Arten von Angriffen, denen Sie ausgesetzt sind, und über deren Risikostufen.

Andere relevante Schwachstellenscanner

Fingerprinting Scanner HIPAA Scanner HTTP Security Header Scannen JavaScript Scanner Local File Inclusion Scanner

FAQ

Heartbleed Tests

Wie kann man Hearbleed verhindern?

Zunächst einmal müssen Sie OpenSSL auf die neueste Version aktualisieren. Mit den folgenden Versionen wurde die Heartbleed-Schwachstelle behoben:

OpenSSL 1.0.1g
OpenSSL 1.0.0 (nicht betroffen)
OpenSSL 0.9.8 (nicht betroffen)
Z.B., ausführen:

apt-get update; apt-get upgrade # Debian / Ubuntu
yum update # RHeL / CentOS
pacman -Syu # Arch Linux
Dieser Schritt ist wichtig, denn wenn Sie anfällige Versionen von OpenSSL verwenden, bleibt das Risiko von Angriffen bestehen.

Wo waren die Anfänge des Heartbleedangriffs?

Ende 2011 steuerte der 31-jährige deutsche Ingenieur Robin Seggelmann die fehlerhafte Heartbeat-Funktionalität zu einer experimentellen Version von OpenSSL bei, der eine Validierungsmethode für eine Variable mit Länge fehlte. Daraufhin wurden seine Funktionen zur Bewertung an OpenSSL geschickt, doch auch die dortigen Entwickler übersahen die Fehler.

Seit wann gibt es die anfälligen Versionen von OpenSSL?

Bevor das Problem gefunden und veröffentlicht wurde, waren anfällige Versionen von OpenSSL bereits seit mehr als zwei Jahren im Umlauf – seit März 2012. Infolgedessen waren Computer, auf denen frühere Versionen von OpenSSL (vor 1.0.1) liefen, nicht betroffen.