Werkzeuge für Sicherheitstests ermöglichen es, potenzielle Schwachstellen und Exploits in Anwendungen zu identifizieren. So lassen sich Webanwendungen, Netzwerke, Datenbanken, Server und Maschinen vor vielen Bedrohungen schützen. Welche Tools empfehlen sich?
Ein wichtiger Teil des Development-Workflows sind Sicherheitstests.
Open-Source-Software wird von einer Gruppe unabhängiger Entwickler erstellt und gepflegt, die dafür den Quellcode offen teilen, sodass jeder ihn prüfen, ändern und verbreiten kann. Durch den Einsatz von Open-Source-Sicherheitslösungen sind Unternehmen dazu in der Lage, das kollektive Wissen und die Expertise einer jeweiligen Community zu nutzen, um Sicherheitsprobleme effektiv zu identifizieren und zu beheben. Sicherheitstests sind Simulationen eines Hacking-Vorgangs, zur Aufdeckung der Verwundbarkeit sowie der Optimierung einer Software.
Charakteristika von Open-Source-Sicherheitstools
Einige der wichtigsten Funktionen von Open-Source-Sicherheitstools sind in der Folge skizziert:
Automatische Asset-Identifizierung
Durch die automatisierte Asset-Erkennung wird sichergestellt, dass die gesamte IT-Umgebung regelmäßig auf Schwachstellen oder Mängel überprüft wird. Dadurch wird die Durchführung einer Asset-Überprüfung wesentlich einfacher und die Bewertung aller kritischen Schwachstellen, die in der Umgebung auftreten, genauer.
Mit SAST-Tools können Entwickler Sicherheitsvorgänge frühzeitig im Software-Entwicklungszyklus implementieren.
Verwaltung von Richtlinien
DevSecOps-Teams können mithilfe flexibler Richtlinien-Verwaltungssysteme Software-Qualitätsstandards in jeder Entwicklungsphase implementieren und effektiv durchsetzen.
Priorisierte Bedrohungsbehebung
Mit einer automatisierten Bedrohungspriorisierung können Teams die Behebung von Problemen priorisieren, die ihre Systeme am stärksten gefährden.
Sicherheits-Testtools für Open-Source-Software
Eine Auswahl der besten Open-Source-Tools werden nachfolgend kurz vorgestellt. Viele davon sind entweder fester Bestandteil von Kali Linux oder lassen sich leicht hinzufügen:
Zed Attack Proxy oder kurz ZAP ist ein weit verbreitetes Open-Source-Sicherheitstesttool zur Erkennung von Schwachstellen in Webanwendungen. Dabei handelt es sich um ein von OWASP entwickeltes Tool zur Identifizierung von Datengefährdung, SQL-Injection, Security-Fehlkonfigurationen, Cross-Site-Scripting und anderen möglichen Schwachstellen einer Webanwendung.
Das Tool bietet eine umfangreiche Palette an Funktionen für manuelle und automatisierte Tests, einschließlich der Möglichkeit, nach häufigen Schwachstellen zu suchen und umfassende Sicherheitsbewertungen durchzuführen. ZAP läuft auf Windows-, Linux- und Macintosh-Plattformen und kann in der Entwicklungs- und Testphase nach Sicherheitslücken in Anwendungen suchen.
Nmap
Eines der bekanntesten und robustesten Open-Source-Tools zum Testen der Netzwerksicherheit ist Nmap. Dieses Scan-Tool kann auch für Sicherheitstestzwecke eingesetzt werden. Es hilft bei der Identifizierung offener Ports, Dienste und potenzieller Schwachstellen in Webanwendungen und bietet wertvolle Erkenntnisse für Sicherheitsbewertungen.
w3af
Ein in Python geschriebenes Webanwendungs-Angriffs- und Prüf-Framework ist w3af. Mit seiner zweistufigen Erkennungs- und Prüfmethode identifiziert es effektiv über 200 Schwachstellen, darunter SQL-Injections, PHP-Fehlkonfigurationen, Cross-Site-Scripting und unbehandelte Anwendungsfehler. Die Erkennungsschicht sucht nach verschiedenen URLs und leitet sie dann an die Prüfschicht weiter, die dann die URLs auf Schwachstellen testet.
Es bietet sowohl grafische als auch Befehlszeilen-Schnittstellen, über die der Anwender variable Parameter zum Testen von Webanwendungen verwenden kann. Das Open-Source-Tool bietet Unterstützung für Proxy, HTTP-Antwort und DNS-Caching, Cookie-Verarbeitung und Datei-Upload mit Multipart. Das Framework verfügt außerdem über ein Authentifizierungsmodul, das zum Scannen geschützter Websites verwendet wird. Der Anwender kann alle Ausgaben in einer Konsole, Datei oder per E-Mail protokollieren.
Skipfish
Leider nicht mehr aktiv weiterentwickelt, ist Skipfish dennoch weiterhin Bestandteil von KaliLinux. Das Sicherheitstesttool führt rekursive Crawls für Webanwendungen durch und nutzt diese, um eine Sitemap für die Anwendung zu generieren. Es führt verschiedene Schwachstellenprüfungen basierend auf der Sitemap durch und gibt eine nützliche Bewertung des Website-Sicherheitsprotokolls aus. Skipfish ist für die Verarbeitung von HTTP-Anfragen optimiert und verspricht qualitativ hochwertige Ergebnisse als auch bis zu 2.000 Anfragen pro Sekunde.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das weit verbreitete Open-Source-Sicherheitstesttool Metasploit verfügt über erweiterte Funktionen und über 1.500 Exploit-Techniken, die es beim Testen von Webanwendungen, Netzwerken, Servern etc. unterstützen. Mit über 24.000 Sternen auf GitHub ist Metasploit als GUI- und Befehlszeilen-Dienstprogramm mit Unterstützung für macOS X, Linux und Windows-Betriebssysteme verfügbar.
Wapiti
Der Wapiti Scanner ist ein Open-Source-Befehlszeilen-Dienstprogramm. Es unterstützt sowohl GET- als auch POST-HTTP-Methoden, um Webanwendungen auf anfällige Formulare oder Skripte zu testen, die Bedrohungsakteure für die Einschleusung infizierter Daten nutzen kann. Es verfügt über verschiedene Funktionen, die es ihm ermöglichen, Sicherheitsscans anzuhalten und fortzusetzen, SSL-Zertifikate und Angriffsmodule zu aktivieren oder zu deaktivieren. Es schlägt auch Alarm, wenn neue Bedrohungen entdeckt werden.
John the Ripper
JTR, sprich John The Ripper, wurde ursprünglich für UNIX-basierte Plattformen entwickelt und ist ein Multiplattform-Tool zum Knacken von Passwörtern. Es erkennt automatisch die Verschlüsselungsmethoden gehashter Passwortdaten und vergleicht sie mit einer großen Datei, die häufig verwendete Passwörter enthält. Wenn es eine Übereinstimmung findet, stoppt es und markiert das Passwort.
Damit soll ein Verfahren nachgeahmt werden, das Bedrohungsakteure beim Knacken von Benutzerkennwörtern anwenden, um Sicherheitsexperten mit Informationen zur weiteren Sicherung der Passwörter zu unterstützen. John The Ripper unterstützt mehrere Verschlüsselungstechnologien für Passwörter, darunter UNIX crypt, Big crypt, Windows LM (DES-basiert) und viele andere.
SQLNinja
SQLNinja ist ein Datenbank-Scan-Tool ähnlich SQLMap, das SQL-Injection verwendet, um Schwachstellen im Datenbankserver einer Website auszunutzen. Es handelt sich um ein Open-Source-Befehlszeilen-Dienstprogramm, das mit direkter und umgekehrter TCP- und UDP-Bindshell auf Remote-Server in verschiedenen Umgebungen zugreifen kann. Es kann in Metasploit 3 integriert werden, um eine grafische Benutzeroberfläche bereitzustellen.
Vega
Vega ist ein Open-Source-Tool zum Testen der Webanwendungssicherheit mit drei Testmodi: automatisiert, manuell und hybrid. Wenn es mit Benutzeranmelde-Informationen ausgestattet ist, kann es sich automatisch bei einer Website anmelden und die Webseiten auf Schwachstellen scannen. Es identifiziert Schwachstellen wie SQL-Injection, Shell-Injection, Cross-Site-Scripting usw. mithilfe von Proxy-Interception und funktioniert auf Linux-, Mac OS X- und Windows-Plattformen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d5/d0/d5d02c4f6e269699961f516f2a58d6be/0124386294v1.jpeg "In diesem Tool-Tipp zeigen wir die ersten Schritte und Möglichkeiten mit Nikto, einem Open-Source-Schwachstellen-Scanner für Webserver. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/9d/a79de71fede7c7865dd3bf90e3bb68d0/0122470970v1.jpeg "Sicherheitslücke CVE-2025-60724 in GDI+ ist mit einem CVSS-Score von 9.8 die gefährlichste Schwachstelle des Microsoft Patchdays im November. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")