Transparentes Testsetup

Testprogramm Referenz

Vollständige Dokumentation aller 124 automatisierten Prüfungen in 5 Scan-Schichten und 24 Modulen.

So läuft der Scan ab

RGate lädt die öffentliche URL in einem echten Browser-Kontext und erfasst Response, DOM, sichtbare Inhalte, Ressourcen, Header, Cookies und Laufzeitsignale.
Der Scanner kombiniert Browser-Evidenz mit HTTP-Inspection, aktiver Pfadprüfung, Structured-Data-Parsing und ausgewählten externen Schwachstellenquellen.
Aus diesen Signalen identifizieren wir sichtbaren Techstack, Frameworks, Backend-as-a-Service-Nutzung, Tracker und öffentliche Angriffsfläche.
Danach laufen die Prüfungen schichtweise über Security, Legal, Accessibility, SEO und Sustainability.
Jeder Befund enthält Evidenz, Risiko-Kontext, Behebungshinweis und Release-Auswirkung.

Voraussetzungen

Die getestete Seite muss öffentlich aus dem Internet erreichbar sein.
Die relevante Oberfläche sollte keinen Login, Passkey, VPN oder manuelle Session benötigen.
Bot-, WAF- oder Scraping-Schutz darf den Scanner nicht daran hindern, die echte Seite zu sehen.
DNS, Redirects, TLS und Zertifikate müssen so konfiguriert sein, dass ein Browser das Ziel laden kann.
robots.txt sollte die Prüfung der öffentlichen Oberfläche nicht pauschal blockieren.
Private IPs, localhost und interne Staging-Umgebungen liegen außerhalb des öffentlichen Scan-Scopes.

Was RGate zurückgibt

Identifizierter Techstack und öffentliche Integrationssignale.
Bestandene, fehlgeschlagene und übersprungene Ergebnisse pro Modul.
Handlungsfähige Befunde mit Evidenz, Risiko und Fix-Hinweis.
Eine Release-Readiness-Entscheidung statt nur eines Roh-Scores.
Markdown-Exports und Agent-Fixpläne für Cursor, GitHub Issues und Coding-Agents.

Sicherheitslücken sind die am häufigsten ausgenutzten Angriffsflächen im Web. Wir testen sieben Bereiche — von der TLS-Zertifikatskonfiguration bis zu Backend-as-a-Service-Fehlkonfigurationen — durch HTTP-Header-Inspektion, aktives Pfad-Probing und den Abgleich mit Schwachstellendatenbanken. Jeder Befund ist einem dokumentierten Angriffsvektor aus OWASP, CWE oder einer nationalen CVE-Datenbank zugeordnet. Probleme in dieser Schicht haben das höchste Potenzial für Datenschutzverletzungen, unbefugten Zugriff und Compliance-Verstöße.

Methodik

Führt einen TLS-Handshake über das Node.js-tls-Modul durch, prüft Zertifikatsfelder und wertet den HSTS-Header aus der HTTP-Antwort aus.

Methodik

Sendet eine HEAD-Anfrage an die gescannte URL und bewertet jeden sicherheitsrelevanten Antwort-Header auf Vorhandensein und korrekte Konfiguration.

Methodik

Sendet Preflight-OPTIONS- und berechtigte GET-Anfragen mit einem gefälschten Origin-Header und prüft die CORS-Antwort-Header des Servers.

Methodik

Sendet HTTP-GET-Anfragen an häufig vorkommende sensible Pfade und wertet HTTP-Statuscodes und Inhaltssignaturen aus.

Methodik

Extrahiert Supabase-URL und Anon-Key aus dem Seiten-JavaScript und fragt dann REST API und Storage API ab, um Tabellenzugänglichkeit und Bucket-Sichtbarkeit zu bewerten.

Methodik

Extrahiert die Firebase-Konfiguration aus dem Seiten-JavaScript und sendet dann unauthentifizierte Anfragen an jeden Firebase-Service-Endpunkt.

Methodik

Fingerprints 228+ Technologien aus Seitenquelltext und HTTP-Headern, fragt dann NVD REST API und OSV.dev Batch-API parallel für passende CVE-Einträge ab.

Methodik

Wendet 13 Regex-Muster auf den vollständig gerenderten HTML und abgerufene JavaScript-Bundles an – für AWS-Zugriffsschlüssel, OpenAI-Tokens, Stripe-Geheimschlüssel, GitHub-Personal-Access-Tokens, Slack-Webhooks, Google-API-Schlüssel, PEM-Private-Keys und Datenbankverbindungsstrings.

Methodik

Hängt pageerror- und console-Ereignislistener im Playwright-Browser-Kontext vor der Navigation ein. Bekannte Dritthersteller-Fehler (Analytics, CDN-Fehler, Cross-Origin-Script-Fehler) werden herausgefiltert.

Die Einhaltung gesetzlicher Anforderungen wird von Datenschutzbehörden in der EU und der DACH-Region aktiv durchgesetzt. Wir prüfen DSGVO- und ePrivacy-Anforderungen wie Cookie-Einwilligung, Vollständigkeit der Datenschutzerklärung und Impressumspflichten nach deutschem Recht. Außerdem prüfen wir Kennzeichnungspflichten für KI-generierte Inhalte nach dem EU-KI-Gesetz (Artikel 50). Fehlende oder nicht konforme rechtliche Elemente setzen Betreiber erheblichen Bußgeldern, Abmahnungen durch Mitbewerber und Reputationsschäden aus.

Methodik

Prüft gängige Datenschutz-URL-Muster (/privacy, /datenschutz usw.) und sucht nach datenschutzbezogenen Links in der Seitennavigation.

Methodik

Prüft gängige Impressum-URL-Muster (/impressum, /imprint, /legal) und scannt Seitenlinks auf rechtliche Hinweis-Verweise.

Methodik

Fängt alle Netzwerkanfragen während des Seitenladens ab und gleicht Anfrage-Domains mit einer Datenbank bekannter Drittanbieter-Service-Fingerprints ab.

Methodik

Lädt Bilder von der Seite herunter und analysiert eingebettete Metadaten mit ExifReader auf KI-Generierungsmarkierungen, C2PA-Credentials und Copyright-Felder.

Web-Barrierefreiheit stellt sicher, dass alle Nutzer — einschließlich Personen mit visuellen, motorischen oder kognitiven Einschränkungen — Ihre Website effektiv nutzen können. Der European Accessibility Act (EAA) verpflichtet die meisten Unternehmen ab Juni 2025 zur Einhaltung von WCAG 2.1 Level AA. Wir führen fünf Module mit der axe-core-Engine, DOM-Inspektion und Playwright bei mobilen Viewport-Breiten aus. Barrierefreiheitsverbesserungen wirken sich auch positiv auf SEO aus: Suchmaschinen bewerten gut strukturiertes, semantisch korrektes HTML als qualitativ hochwertigeren Inhalt.

Methodik

Injiziert axe-core in den Playwright-Browser-Kontext und führt ein vollständiges Barrierefreiheits-Audit durch, das Verstöße mit WCAG-Erfolgskriterium-Referenzen erfasst.

Methodik

Analysiert das gerenderte DOM auf semantische HTML5-Elemente, aria-hidden-Nutzung, tabindex-Werte und Formular-Label-Zuordnungen.

Methodik

Verwendet Playwright bei 375px Viewport-Breite, um Bounding-Boxes interaktiver Elemente zu messen und Layout-Überlauf zu erkennen.

Die Sichtbarkeit in Suchmaschinen bestimmt direkt, wie gut Nutzer und KI-Agenten Ihre Website entdecken. Wir prüfen sechs Bereiche, die Crawlbarkeit, Indexierung und Ranking beeinflussen: Meta-Tag-Vollständigkeit, Indexierungssignale, mobile Nutzbarkeit, URL-Struktur, Überschriftenhierarchie und Ladeperformance. Jeder Check verweist auf die spezifische Google-, W3C- oder schema.org-Spezifikation. Strukturierte Daten für Generative Engine Optimization (GEO) werden mit zunehmendem KI-Such-Traffic immer wichtiger.

Methodik

Parst den <head>-Bereich der Seite und prüft alle Meta-Tags, Link-Elemente und ihre Attributwerte gegen empfohlene Bereiche und Anforderungen.

Methodik

Lädt /robots.txt und /sitemap.xml herunter und parst deren Inhalt; prüft Meta-Robots-Tags und X-Robots-Tag-HTTP-Antwort-Header.

Methodik

Lädt die Seite bei Desktop- (1280px) und mobiler (375px) Viewport-Breite, vergleicht das Layout-Verhalten und prüft Meta-Viewport-Attribute.

Methodik

Prüft Canonical-Link-Elemente und Hreflang-Attribute; löst www und non-www Varianten per HTTP auf, um doppelte Antworten zu erkennen.

Methodik

Parst das Seiten-DOM für die Überschriften-Gliederung, parst JSON-LD-Script-Blöcke auf Syntaxfehler und validiert Pflichtfelder für 11 schema.org-Typen.

Methodik

Fängt alle Netzwerkanfragen während eines Playwright-Seitenladens ab und analysiert Ressourcentypen, komprimierte Größen und Ladeattribute.

Digitale Dienste verursachen etwa 4% der globalen Treibhausgasemissionen, und ein einzelner Webseitenaufruf erzeugt durchschnittlich 0,5–1 g CO₂. Wir messen Seitengewicht, Anfragevolumen, Serverkomprimierung und Asset-Optimierung, um die Umweltauswirkungen jedes Seitenladens zu quantifizieren. Unsere Schwellenwerte sind an den Web Sustainability Guidelines (WSG) 1.0 ausgerichtet. Nachhaltigkeitsverbesserungen korrelieren direkt mit schnelleren Ladezeiten, niedrigeren Hosting-Kosten und besseren SEO-Rankings.

Methodik

Fängt alle Netzwerkantworten während eines vollständigen Playwright-Seitenladens ab und summiert die komprimierten Transfer-Größen.

Methodik

Analysiert HTTP-Antwort-Header auf Content-Encoding und prüft Link-, img-, style- und Font-Elemente auf Optimierungsattribute.

Testprogramm Referenz

So läuft der Scan ab

Voraussetzungen

Was RGate zurückgibt

Sicherheit

TLS / Zertifikat

Sicherheitsheader

CORS-Konfiguration

Offengelegte Dateien und Pfade

Supabase-Konfiguration

Firebase-Konfiguration

Bekannte Schwachstellen (CVE)

Offengelegte Zugangsdaten

JavaScript-Fehler

Legal

Datenschutzrichtlinie

Rechtliche Hinweise (Impressum)

Offenlegung des Tech-Stacks

Bildlizenzierung und KI-Inhalte

Barrierefreiheit (A11y)

WCAG-Konformität

Dokumentstruktur

Touch & Mobil

Suchmaschinenoptimierung (SEO)

Meta-Tags

Roboter und Indexierung

Mobilfreundlichkeit

URL und Kanonisierung

Seitenstruktur

Leistung (SEO-Auswirkung)

Nachhaltigkeit

Seitengewicht

Asset-Optimierung

Seid ihr bereit?

Testprogramm Referenz

So läuft der Scan ab

Voraussetzungen

Was RGate zurückgibt

Sicherheit53 Prüfungen · 9 Module

Sicherheit

TLS / ZertifikatTestet die SSL/TLS-Konfiguration Ihrer Domain — Zertifikatsvalidität, Ablaufzeiträume, TLS-Protokollversionen, HSTS-Durchsetzung und Mixed-Content-Erkennung.8 Prüfungen

TLS / Zertifikat

Das SSL-Zertifikat ist abgelaufenCertificate notAfter date is in the pastKritisch

SSL-Zertifikat läuft bald ab (< 14 Tage)Certificate notAfter date < 14 days from nowHoch

SSL-Zertifikat läuft bald ab (< 30 Tage)Certificate notAfter date < 30 days from nowMittel

Veraltete TLS-Version (TLS 1.0 / 1.1)TLS handshake negotiates version 1.0 or 1.1Hoch

TLS 1.2 im Einsatz (1.3 empfohlen)Highest negotiated TLS version is 1.2Info

Das maximale HSTS-Alter beträgt weniger als 1 JahrStrict-Transport-Security max-age < 31536000 secondsMittel

HSTS umfasst keine SubdomainsStrict-Transport-Security header lacks includeSubDomains directiveMittel

Gemischter Inhalt erkanntPage loaded over HTTPS requests subresources via HTTPHoch

SicherheitsheaderPrüft acht HTTP-Antwort-Header, die vor Cross-Site-Scripting, Clickjacking, MIME-Sniffing und Informationslecks schützen.8 Prüfungen

Sicherheitsheader

Fehlender Strict-Transport-Security (HSTS)-HeaderStrict-Transport-Security header absent from HTTP responseHoch

Fehlender Content-Security-Policy (CSP)-HeaderContent-Security-Policy header absent from HTTP responseHoch

Schwache InhaltssicherheitsrichtlinieCSP contains both unsafe-inline and unsafe-eval in script-srcHoch

CSP erlaubt „Unsafe-Inline"CSP script-src directive contains unsafe-inlineMittel

Fehlender X-Frame-Options-HeaderX-Frame-Options header absent; no frame-ancestors in CSPMittel

Fehlender X-Content-Type-Options-HeaderX-Content-Type-Options: nosniff header is absentNiedrig

Fehlender Referrer-Policy-HeaderReferrer-Policy header absent from HTTP responseNiedrig

Fehlender Permissions-Policy-HeaderPermissions-Policy header absent from HTTP responseNiedrig

CORS-KonfigurationTestet die Cross-Origin Resource Sharing Policy auf gefährliche Fehlkonfigurationen, die unautorisierte Cross-Site-Anfragen an Ihre API ermöglichen.4 Prüfungen

CORS-Konfiguration

CORS spiegelt jede Herkunft mit Anmeldeinformationen widerAccess-Control-Allow-Origin reflects request Origin AND Access-Control-Allow-Credentials: trueKritisch

CORS spiegelt jede Herkunft widerAccess-Control-Allow-Origin reflects arbitrary Origin header valueHoch

CORS-Platzhalter (*) mit AnmeldeinformationenAccess-Control-Allow-Origin: * coexists with Access-Control-Allow-Credentials: trueHoch

CORS erlaubt alle Ursprünge (Platzhalter)Access-Control-Allow-Origin: * without credentialsNiedrig

Offengelegte Dateien und PfadePrüft 14 bekannte Pfade auf versehentlich exponierte sensible Dateien wie Umgebungskonfigurationen, Quellcode, Datenbank-Backups und Debug-Artefakte.14 Prüfungen

Offengelegte Dateien und Pfade

Offengelegte .env-DateiGET /.env returns HTTP 200 with key=value contentKritisch

Offengelegtes .git-VerzeichnisGET /.git/HEAD returns HTTP 200 with valid git ref contentKritisch

Offengelegte wp-config.phpGET /wp-config.php returns HTTP 200 with PHP contentKritisch

Offengelegte .htpasswd-DateiGET /.htpasswd returns HTTP 200 with htpasswd-format contentHoch

Offengelegtes SQL-BackupGET /backup.sql (or similar) returns HTTP 200 with SQL contentKritisch

phpinfo() ausgesetztGET /phpinfo.php returns HTTP 200 with phpinfo HTML outputHoch

Offengelegtes Debug-ProtokollGET /debug.log (or similar) returns HTTP 200 with log contentMittel

Docker-compose.yml verfügbar gemachtGET /docker-compose.yml returns HTTP 200 with YAML contentMittel

config.json verfügbar gemachtGET /config.json returns HTTP 200 with JSON configuration contentMittel

Source Maps freigelegtGET /*.map returns HTTP 200 for a detected JS file's source mapNiedrig

Offengelegter Apache-ServerstatusGET /server-status returns HTTP 200 with Apache status pageMittel

Docker-Umgebung erkanntGET /.dockerenv returns HTTP 200Info

Zugriff auf das WordPress-Admin-PanelGET /wp-admin/login.php returns HTTP 200Mittel

security.txt gefundenN/A — positive finding when /.well-known/security.txt returns HTTP 200Info

Supabase-KonfigurationPrüft die Supabase-Backend-as-a-Service-Konfiguration auf öffentlich zugängliche Daten, zu permissive Row-Level-Security-Richtlinien und API-Key-Verwaltungsprobleme.10 Prüfungen

Supabase-Konfiguration

Das Supabase OpenAPI-Schema ist öffentlich zugänglichGET /rest/v1/ returns HTTP 200 with OpenAPI JSON schemaInfo

Viele Datenbanktabellen werden über die API bereitgestelltOpenAPI schema exposes more than 10 tables with the anon keyMittel

Tabellen ermöglichen Schreibvorgänge über die APIOPTIONS /rest/v1/{table} indicates writable methods for anon roleHoch

Sensible Tabellen exponiertOpenAPI schema includes tables named users, profiles, payments, tokens, sessions, or secretsHoch

Tabellen ohne Authentifizierung lesbarGET /rest/v1/{table} with anon key returns rows of dataKritisch

In der Tabelle angezeigte sensible FelderReadable table rows contain columns named password, secret, token, api_key, or private_keyKritisch

Tabellen erlauben nicht authentifizierte SchreibvorgängePOST /rest/v1/{table} with anon key returns HTTP 201 (data inserted)Kritisch

Der Supabase-API-Key ist abgelaufenJWT exp claim in the anon key is before the current timestampHoch

Der Supabase-API-Key läuft bald abJWT exp claim in the anon key is within 30 days from nowMittel

Öffentlicher Speicher-Bucket(s) gefundenStorage API returns buckets with public: trueMittel

Firebase-KonfigurationTestet Firebase Realtime Database, Firestore und Storage auf unauthentifizierten Lesezugriff und prüft den Firebase-API-Key auf fehlende Einschränkungen.4 Prüfungen

Firebase-Konfiguration

Die Firebase-Echtzeitdatenbank ist öffentlich lesbarGET /{db}.json?shallow=true returns HTTP 200 without authenticationKritisch

Die Firestore-Sammlung ist öffentlich lesbarFirestore REST API returns documents without a valid auth tokenKritisch

Firebase Storage ermöglicht die Auflistung öffentlicher DateienFirebase Storage list endpoint returns file listing without authenticationHoch

Für den Firebase-API-Key fehlen EinschränkungenGoogle Cloud API returns no restrictions for the detected Firebase API keyMittel

Bekannte Schwachstellen (CVE)Gleicht alle erkannten Technologien und ihre Versionsnummern mit der NVD und OSV.dev ab, um bekannte CVEs zu identifizieren.2 Prüfungen

Bekannte Schwachstellen (CVE)

CVE-Suche gegen NVD und OSV.devDetected technology version matches a CVE with CVSS ≥ 7.0 and no fixedIn version installedHoch

Veraltete WordPress-Version erkanntDetected WordPress version is not the latest stable releaseHoch

Offengelegte ZugangsdatenDurchsucht den Seiten-HTML und alle JavaScript-Dateien nach fest codierten API-Schlüsseln, Tokens und Zugangsdaten, die für jeden Besucher sichtbar sind.1 Prüfungen

Offengelegte Zugangsdaten

Offengelegter API-Schlüssel oder ZugangsdatenRegex match for known credential pattern (AWS AKIA*, sk-*, sk_live_*, ghp_*, etc.) found in HTML or JSKritisch

JavaScript-FehlerErfasst unbehandelte JavaScript-Ausnahmen und Konsolenfehler, die beim Laden der Seite auftreten und auf fehlerhaften Produktionscode hinweisen.2 Prüfungen

JavaScript-Fehler

Unbehandelte JavaScript-Ausnahme beim Laden der Seitepage.on('pageerror') fires during page load (after filtering third-party noise)Hoch

Konsolenfehler beim Laden der Seitepage.on('console') captures messages of type 'error' during page load (after filtering noise)Niedrig

Legal12 Prüfungen · 5 Module

Legal

Cookie-EinwilligungErkennt Tracking-Skripte, die ohne Benutzereinwilligung geladen werden, und überprüft das Vorhandensein eines funktionierenden Cookie-Einwilligungsmechanismus.3 Prüfungen