Was wird für einen Scan benötigt?

Nur eine öffentlich erreichbare Domain. Zugangsdaten oder Änderungen an der Konfiguration sind nicht nötig.

Wie lange dauert ein Scan?

Der Scan dauert in der Regel weniger als eine Minute. Das Ergebnis steht unmittelbar danach zur Verfügung.

Welche Auswirkungen hat der Scan auf die Website?

Der Scan entspricht einem regulären Seitenaufruf und erzeugt nicht mehr Last als ein zusätzlicher Besucher.

Verändert der Scan meine Website oder Daten?

Nein. Der Scan erfolgt rein extern und hat keinen Einfluss auf Systeme oder Daten.

Ist der Scan rechtlich zulässig?

Der Scan analysiert ausschließlich öffentlich erreichbare Inhalte der angegebenen Domain. Er erfolgt wie ein regulärer Zugriff auf die Website und greift nicht auf interne Systeme zu.

Werden Daten gespeichert?

Die Testergebnisse werden nur gespeichert, wenn der vollständige Report erworben wird. Andernfalls werden sie automatisch nach kurzer Zeit gelöscht. Wir teilen keine Daten mit Dritten und halten uns strikt an die DSGVO.

Was liefert der kostenlose Scan?

Das kostenlose Testergebnis zeigt die Anzahl und den Schweregrad der erkannten Mängel sowie eine zusammenfassende Einschätzung zum Zustands der Website. Detailinformationen zu einzelnen Schwachstellen und Maßnahmen zur Behebung sind erst im vollständigen Report enthalten.

Was enthält der Report?

Der Report enthält die Ergebnisse aller Tests, ordnet sie ein und zeigt konkrete Maßnahmen zur Behebung.

Wie wird sichergestellt, dass nur der Domaininhaber die Ergebnisse erhält?

Der vollständige Report kann erst nach einer E-Mail-Verifikation erworben werden. Dazu muss eine E-Mail-Adresse bestätigt werden, die zur getesteten Domain gehört. Die Bestätigung erfolgt über ein einmaliges Passwort, das an diese Adresse gesendet wird.

Für welche Websites ist der Scan geeignet?

Der Scan eignet sich für öffentlich erreichbare Websites und Web-Anwendungen. Dazu zählen klassische Websites ebenso wie moderne Single-Page-Applications oder APIs.

Brauche ich Code-Zugriff oder Admin-Zugangsdaten?

Nein. RGate scannt deine öffentlich zugängliche Website von außen – genau wie ein Angreifer es tun würde. Keine Zugangsdaten, kein Code-Zugriff, keine Plugins erforderlich.

Ist der Scan sicher – werden Daten verändert?

Absolut sicher. RGate führt ausschließlich passive Read-only-Analysen durch. Wir erkennen und berichten – verändern keine Daten, injizieren keine Payloads und führen keine destruktiven Tests durch.

Welche BaaS-Plattformen werden geprüft?

Wir haben spezialisierte Checks für Supabase (RLS, Storage Buckets, freiliegende Tabellen), Firebase (Security Rules, öffentlicher Zugriff), Appwrite und generische REST-APIs. Der Deckungsbereich wird kontinuierlich erweitert.

Was ist der Unterschied zu Qualys oder Burp Suite?

Qualys und Burp Suite sind für Sicherheitsexperten bei umfassenden Penetrationstests. RGate ist für Entwickler am Release Gate – ein schneller, automatisierter Check den jeder in 60 Sekunden durchführen kann, ohne Security-Kenntnisse.

Was ist ein CVE und wie ordnet ihr ihn meinem Stack zu?

CVE (Common Vulnerabilities and Exposures) sind öffentlich bekannte Sicherheitslücken. Wir erkennen die Bibliotheken und Versionen in deinem Stack und gleichen sie mit NVD und GitHub Advisory-Datenbanken ab.

Was passiert mit meinen Scan-Ergebnissen und der URL?

Deine URL wird nur für den Scan verwendet. Ergebnisse werden verschlüsselt gespeichert. Du kannst deinen Report jederzeit löschen. Wir halten uns strikt an die DSGVO.

Ersetzt das einen manuellen Penetrationstest?

Nein. RGate erkennt die häufigsten, erkennbaren Fehlkonfigurationen schnell. Ein gründlicher manueller Penetrationstest bleibt für kritische Systeme wertvoll – RGate ist die erste Verteidigungslinie bei jedem Deploy.

Security

Sicherheit ist Pflicht.
Sind Sie sicher?

Coding und Testing gehören zusammen wie Angriff und Verteidigung. Wenn Coding den nächsten Schritt macht, muss Testing den nächsten Schritt machen. Wenn Angreifer aufrüsten, muss die Verteidigung aufrüsten. Coding wird automatisiert. Deshalb automatisieren wir Testing.

Wie wir testen

Webseiten entstehen im Browser des Nutzers – nicht auf dem Server. Der Server liefert nur die Bausteine. Wie eine Seite tatsächlich aussieht, reagiert und funktioniert, entscheidet sich erst im Browser. Wer nur serverseitig prüft, kontrolliert den Plan, aber nicht das Ergebnis. Ob eine Seite wirklich funktioniert, zeigt sich auf dem Bildschirm, auf dem sie entsteht. Genau dort schauen wir hin.

Was wir prüfen

Umfassende Checks für die häufigsten Sicherheitslücken.

Tech Stack Erkennung

Frameworks, BaaS, Hosting & Bibliotheken automatisch identifiziert.

Offene Datenbanken & APIs

Supabase RLS, Firebase Rules und offene Endpunkte geprüft.

Exponierte Secrets

API-Keys, .env-Dateien und Source Maps aufgedeckt.

Security Headers & CORS

HSTS, CSP, X-Frame-Options und CORS-Konfiguration.

Fehlkonfigurationen

Häufige Sicherheitsfehler in modernen Deployments.

Öffentliche Admin-Endpunkte

Dashboard-URLs und Admin-Panels ohne Schutz erkannt.

Layer 1 – Tech-Stack Detection

"Welche Technologien werden eingesetzt?" Analyse des eingesetzten Stacks mit Fokus auf sicherheitsrelevante Merkmale.

Erkennungsmethoden

HTTP Response HeadersServer, Framework, CDN · server: cloudflare

HTML & Script TagsFrontend-Framework, Tracking · /_next/... → Next.js

JS Bundle AnalyseLibraries + Versionen, Keys · react@18.2.0

API-Endpunkt-FingerprintingBaaS-Provider · *.supabase.co

DNS/TLS-AnalyseHosting, CDN · Vercel, Netlify

Bekannte PfadeAdmin-Panels, Config · /wp-admin, /.env

Erkannte Kategorien

FrontendReact, Vue, Svelte, Angular, Next.js, Nuxt, Astro

BackendNode, PHP, Python, Ruby, Go

BaaSSupabase, Firebase, Appwrite, Convex, Nhost

CMSWordPress, Kirby, Strapi, Sanity, Contentful

HostingVercel, Netlify, Render, Railway, Fly.io, Cloudflare

AuthClerk, Auth0, Supabase Auth, Firebase Auth

PaymentsStripe, Paddle, LemonSqueezy

AnalyticsPlausible, PostHog, Google Analytics, Mixpanel

AI-BuilderLovable, Bolt, v0, Replit

Beispiel Output

{
  "builder":  { "name": "Lovable",   "confidence": 0.92 },
  "frontend": { "name": "React",     "version": "18.3.1", "latest": "19.1.0", "outdated": true },
  "baas":     { "name": "Supabase",  "project_ref": "zzwy...iqyt", "region": "eu-central-1" },
  "hosting":  { "name": "Vercel",    "confidence": 0.95 },
  "ui":       { "name": "shadcn/ui", "version": "0.8.0" }
}

Layer 2 – Version & Vulnerability Check

"Ist es aktuell?" – CVE-Abgleich über NVD, Snyk & GitHub Advisory DB.

Check	Methode	Schwere
Frontend-Library-VersionenHoch	JS Bundle & Source Maps	Hoch
Server-SoftwareHoch	Header-Analyse	Hoch
BaaS SDK VersionMittel	x-client-info Header	Mittel
TLS-KonfigurationMittel	TLS Handshake Analyse	Mittel
Bekannte verwundbare PfadeKritisch	.env, .git/config, debug.log	Kritisch

Layer 3 – Configuration Audit

Unser Differenzierungsmerkmal – wir testen, was die meisten Scanner ignorieren.

Supabase-spezifisch

RLS aktiv?Kritisch

Prüft ob Row Level Security auf allen Tabellen aktiv ist

Tabellen exponiert?Hoch

Anzahl öffentlich zugänglicher Tabellen via OpenAPI Schema

Schreibzugriff offen?Kritisch

POST mit leerem Body testet ob RLS greift

Sensible Tabellen?Kritisch

Pattern-Matching auf users, admin, passwords, payments

Storage Buckets öffentlich?Hoch

Prüft ob Storage-Buckets ohne Auth zugänglich sind

Allgemeine Checks

CORS PolicyHoch

Testet mit evil.com Origin

Security HeadersMittel

HSTS, CSP, X-Frame-Options

.env / .git exponiert?Kritisch

Bekannte Pfade proben

Source MapsMittel

*.js.map Verfügbarkeit

Rate LimitingMittel

50 Requests in 5 Sekunden Burst

Cookie-SecurityMittel

Secure, HttpOnly, SameSite Flags

DSGVO Quick-CheckInfo

Impressum, Datenschutz, Cookie-Banner

Layer 4 – Mehr als Sicherheit

Wir prüfen nicht nur Security. Jeder Scan analysiert auch SEO, Barrierefreiheit, rechtliche Konformität und Nachhaltigkeit.

SEO

Meta-Tags, Überschriften, Open Graph, robots.txt, Sitemap, Canonical-URLs, Mobile-Tauglichkeit.

Barrierefreiheit

ARIA-Attribute, Formular-Labels, Dokumentsprache, Überschriften-Hierarchie, Bild-Alternativtexte, Farbkontrast.

Recht & DSGVO

Datenschutzerklärung, Impressum, Cookie-Consent, Tracking ohne Einwilligung, Drittanbieter-Datentransfers.

Nachhaltigkeit

Seitengewicht, HTTP-Komprimierung, Bild-Optimierung, Anzahl der Requests, Green-Hosting-Indikatoren.

Reporting, Bewertung & Empfehlungen

Jeder Scan liefert einen umfassenden Bericht mit einer klaren Release-Readiness-Bewertung und konkreten Handlungsempfehlungen.

Release Readiness

Statt abstrakter Scores erhältst du eine verständliche Einschätzung, ob deine Seite bereit für den Launch ist – oder was vorher noch zu tun ist. Jedes Finding wird mit einer Risikoerklärung und Schritt-für-Schritt-Anleitung geliefert.

Release Ready

No blocking issues found. Your site is ready to go live.

Kontinuierliches Testen

Bereits live? RGate hilft dir dabei, es so zu halten. Scanne nach jedem Deploy erneut, um Regressionen frühzeitig zu erkennen und ein starkes Sicherheitsniveau aufrechtzuerhalten.

Conditional – Action Required

New issues detected after deploy. Review recommended.

What we check

Security

50 automatisierte Checks

TLS / Zertifikat

Sicherheitsheader

CORS-Konfiguration

Offengelegte Dateien und Pfade

Supabase-Konfiguration

Firebase-Konfiguration

Bekannte Schwachstellen (CVE)

See all 50 sicherheit checks in detail →

Security FAQ

Häufige Fragen zum automatisierten Security-Testing.

Wie wir testen

Was wir prüfen

Tech Stack Erkennung

Offene Datenbanken & APIs

Exponierte Secrets

Security Headers & CORS

Fehlkonfigurationen

Öffentliche Admin-Endpunkte

Layer 1 – Tech-Stack Detection

Erkennungsmethoden

Erkannte Kategorien

Beispiel Output

Layer 2 – Version & Vulnerability Check

Layer 3 – Configuration Audit

Supabase-spezifisch

Allgemeine Checks

Layer 4 – Mehr als Sicherheit

SEO

Barrierefreiheit

Recht & DSGVO

Nachhaltigkeit

Reporting, Bewertung & Empfehlungen

Release Readiness

Kontinuierliches Testen

Security

1.Das SSL-Zertifikat ist abgelaufen

2.SSL-Zertifikat läuft bald ab (< 14 Tage)

3.SSL-Zertifikat läuft bald ab (< 30 Tage)

4.Veraltete TLS-Version (TLS 1.0 / 1.1)

5.TLS 1.2 im Einsatz (1.3 empfohlen)

6.Das maximale HSTS-Alter beträgt weniger als 1 Jahr

7.HSTS umfasst keine Subdomains

8.Gemischter Inhalt erkannt

9.Fehlender Strict-Transport-Security (HSTS)-Header

10.Fehlender Content-Security-Policy (CSP)-Header

11.Schwache Inhaltssicherheitsrichtlinie

12.CSP erlaubt „Unsafe-Inline“

13.Fehlender X-Frame-Options-Header

14.Fehlender X-Content-Type-Options-Header

15.Fehlender Referrer-Policy-Header

16.Fehlender Permissions-Policy-Header

17.CORS spiegelt jede Herkunft mit Anmeldeinformationen wider

18.CORS spiegelt jede Herkunft wider

19.CORS-Platzhalter (*) mit Anmeldeinformationen

20.CORS erlaubt alle Ursprünge (Platzhalter)

21.Offengelegte .env-Datei

22.Offengelegtes .git-Verzeichnis

23.Offengelegte wp-config.php

24.Offengelegte .htpasswd-Datei

25.Offengelegtes SQL-Backup

26.phpinfo() ausgesetzt

27.Offengelegtes Debug-Protokoll

28.Docker-compose.yml verfügbar gemacht

29.config.json verfügbar gemacht

30.Source Maps freigelegt

31.Offengelegter Apache-Serverstatus

32.Docker-Umgebung erkannt

33.Zugriff auf das WordPress-Admin-Panel

34.security.txt gefunden

35.Das Supabase OpenAPI-Schema ist öffentlich zugänglich

36.Viele Datenbanktabellen werden über die API bereitgestellt

37.Tabellen ermöglichen Schreibvorgänge über die API

38.Sensible Tische freigelegt

39.Tabellen ohne Authentifizierung lesbar

40.In der Tabelle angezeigte sensible Felder

41.Tabellen erlauben nicht authentifizierte Schreibvorgänge

42.Der Supabase-API-Key ist abgelaufen

43.Der Supabase-API-Key läuft bald ab

44.Öffentlicher Speicher-Bucket(s) gefunden

45.Die Firebase-Echtzeitdatenbank ist öffentlich lesbar

46.Die Firestore-Sammlung ist öffentlich lesbar

47.Firebase Storage ermöglicht die Auflistung öffentlicher Dateien

48.Für den Firebase-API-Key fehlen Einschränkungen

49.CVE-Suche gegen NVD und OSV.dev

50.Veraltete WordPress-Version erkannt

Security FAQ

Brauche ich Code-Zugriff oder Admin-Zugangsdaten?

Ist der Scan sicher – werden Daten verändert?

Welche BaaS-Plattformen werden geprüft?

Was ist der Unterschied zu Qualys oder Burp Suite?