Grundlagen
Alle ansehen- 01 Was ist Web-Sicherheit? Schutzziele, Akteure, Defense-in-Depth — die Karte der Disziplin
- 02 Bedrohungsmodelle Wer greift mich wie an — strukturiert beantwortet
- 03 Angreifer-Typen Wer im Web angreift — und warum
- 04 Angriffsketten und Kill Chain Wie Angriffe ablaufen — und wo Verteidigung greift
- 05 Risiko und Defense-in-Depth Risiko rechnen, in Schichten verteidigen, Rechte minimieren
- 06 Sicherheits-Mythen Verbreitete Annahmen, die mehr schaden als helfen
- 07 Glossar und Begriffe Die Vokabeln, ohne die Sicherheits-Texte unverständlich bleiben
Passwörter & Authentifizierung
Alle ansehen- 01 Passwörter und Manager Die größte Schwachstelle im Netz — und wie du sie schließt
- 02 Zwei-Faktor und MFA Der zweite Faktor — und warum nicht jeder gleich gut schützt
- 03 Passkeys Phishing-sicher, kein Code-Tippen, plattform-übergreifend
- 04 Biometrie Was Fingerabdruck und Gesichts-Scan wirklich tun — und wo sie aufhören
- 05 Session- und Geräte-Verwaltung Wer ist gerade in meinen Konten — und wie räume ich auf?
- 06 Account-Wiederherstellung Der oft vergessene Pfad — und genau deshalb der Angriffsweg
- 07 Kontosicherheit-Routine Eine Stunde alle drei Monate — und du bist auf der sicheren Seite
Phishing & Social Engineering
Alle ansehen- 01 Social Engineering Grundlagen Warum Menschen geknackt werden — nicht Systeme
- 02 Phishing erkennen Was eine Phishing-Mail vom Original unterscheidet — und was nicht mehr
- 03 Spear-Phishing und CEO-Fraud Gezielte Angriffe, Voice-Klone, Vier-Augen-Prozesse als Bremse
- 04 AiTM-Phishing und MFA-Bypass Wenn 2FA nicht reicht — Reverse-Proxy-Phishing erklärt
- 05 Smishing und Vishing SMS- und Telefon-Phishing — schnell, vertraut, gefährlich
- 06 QR-Codes und Quishing Wenn der QR-Code in die Falle führt
- 07 Phishing melden und nach Klick reagieren Was du nach einem Klick tust — und wem du den Phish meldest
Sicheres Surfen
Alle ansehen- 01 Browser sicher einrichten Browser sind dein wichtigstes Web-Werkzeug — und dein größtes Risiko
- 02 HTTPS und Zertifikate Was das Schloss garantiert — und was nicht
- 03 Sandbox und Prozess-Isolation Wie Browser dich vor einer einzelnen kompromittierten Seite schützen
- 04 Download-Hygiene Wann ein Download dich infiziert — und wie du das verhinderst
- 05 Öffentliche Netzwerke Was im Café-WLAN heute noch schiefgehen kann
- 06 Klick-Chain-Scams Wenn der Angriff dich Schritt für Schritt selbst ausführen lässt
- 07 Romance- und Investment-Scams Wochenlange Beziehung, dann sechsstelliger Schaden
Tracking & Privatsphäre
Alle ansehen- 01 Tracking-Grundlagen Wer dich wo verfolgt — und warum es ein Geschäftsmodell ist
- 02 Cookies und LocalStorage Was im Browser gespeichert wird — und wer es lesen kann
- 03 Fingerprinting Wenn dein Browser dich selbst verrät — ohne Cookie
- 04 Tracker-Blocker Das wirksamste Tracking-Werkzeug aus 15 Jahren Open-Source-Arbeit
- 05 Container-Tabs und Profile Eine Webseite, mehrere Identitäten — sauber getrennt
- 06 DNS-Tracking und DoH/DoT Wer deine DNS-Anfragen sieht — und wie du das änderst
- 07 Referrer und Analytik Was Webseiten über deinen Weg dorthin erfahren
Anonymität im Web
Alle ansehen- 01 Anonymität vs. Privatsphäre Drei Begriffe — drei sehr verschiedene Schutzziele
- 02 VPN-Grundlagen und Anbieter Was ein VPN wirklich tut, welcher Anbieter zu welchem Bedarf passt
- 03 Tor-Grundlagen Wie Onion-Routing wirklich funktioniert — und wem es nützt
- 04 Tor-Browser-Praxis Wie du Tor Browser ohne Anfänger-Fehler nutzt
- 05 Tails und Whonix Wenn Tor Browser nicht mehr reicht
- 06 Anonymitäts-Grenzen Wo Tor und Tails nicht mehr reichen — die OPSEC-Fallen
E-Mail & Messaging
Alle ansehen- 01 E-Mail-Sicherheit Grundlagen Wie E-Mail wirklich funktioniert — und wo sie nie sicher gebaut wurde
- 02 Mail-Aliase und Wegwerfadressen Eine eigene Mail-Adresse pro Dienst — als Schutz vor Lecks und Spam
- 03 Mail-Header und Spoofing Was hinter der sichtbaren Mail steht — und wie du es liest
- 04 PGP und S/MIME Ende-zu-Ende-Verschlüsselung für E-Mail — und ihre realen Grenzen
- 05 Sichere Messenger Wer macht E2E richtig — und wer nur damit wirbt
- 06 Backup-Verschlüsselung Messenger Das stille Leck hinter jedem E2E-Messenger
- 07 Metadaten — was Anbieter sehen Wer mit wem wann — auch bei E2E noch sichtbar
- 08 Anhang- und Link-Disziplin Was du mit jedem Anhang machst, bevor du klickst
OWASP Top 10
Alle ansehen- 01 OWASP Top 10 Übersicht Die zehn wichtigsten Risiko-Kategorien — als Karte und Cross-Reference
- 02 OWASP API Top 10 konkret Die wichtigsten API-Sicherheits-Schwachstellen — auf den Punkt
- 03 OWASP LLM Top 10 konkret Die zehn wichtigsten Sicherheits-Risiken in KI-Anwendungen
- 04 Business-Logic-Flaws und Race Conditions Sicherheits-Lücken, die kein Scanner findet
- 05 XXE und unsichere Deserialization XML-External-Entities und Deserialisierungs-Angriffe konkret
- 06 Request Smuggling und Host-Header-Injection Wenn Front-End und Back-End sich uneinig sind
- 07 Clickjacking und UI-Redress Wenn Nutzer:innen auf etwas anderes klicken, als sie sehen
- 08 Prototype Pollution Wenn ein einzelnes Property den ganzen Heap verändert
XSS & Content Injection
Alle ansehen- 01 XSS-Grundlagen Was XSS angreift, was es nicht angreift, und warum es bleibt
- 02 XSS — Reflected und Stored Die zwei klassischen Server-Side-XSS-Klassen und ihre Verteidigung
- 03 DOM-based XSS XSS, die der Server nie sieht — und SPAs besonders trifft
- 04 Content Security Policy Der wirksamste XSS-Browser-Schutz — wenn richtig konfiguriert
- 05 Trusted Types Wenn der Browser nur explizit als sicher markierte HTML-Strings akzeptiert
- 06 HTML-Sanitization Wenn du Roh-HTML rendern musst — wie du es trotzdem sicher tust
- 07 Template-Injection Wenn User-Input zur Template-Sprache wird
- 08 XSS in Frameworks Wie moderne Frameworks XSS verhindern — und wo sie es bewusst nicht tun
CSRF & SameSite
Alle ansehen- 01 CSRF-Grundlagen Was CSRF ausnutzt — und warum es heute weniger relevant geworden ist
- 02 SameSite-Cookies Der wichtigste Browser-Schutz gegen CSRF — und seine Lücken
- 03 CSRF-Tokens und Double-Submit Die klassische und immer noch sicherste CSRF-Verteidigung
- 04 Origin- und Referer-Header Welche HTTP-Header sagen, woher eine Anfrage kommt — und wann das reicht
- 05 CSRF in SPAs und APIs Wann moderne APIs CSRF haben — und wann nicht
- 06 CSRF in OAuth und SAML Wenn der CSRF-Schutz im Authorization-Flow steckt
Injection (SQL/NoSQL/Cmd)
Alle ansehen- 01 Injection-Grundlagen Das gemeinsame Muster aller Injection-Klassen — und die strukturelle Lösung
- 02 SQL-Injection Die klassische Datenbank-Lücke — und wie man sie strukturell schließt
- 03 SQL-Injection — ORM-Fallen Wo ORMs nicht automatisch schützen — und was bleibt
- 04 NoSQL-Injection Wenn JSON-Operatoren als SQL-Injection-Pendant wirken
- 05 Command Injection Wenn User-Input zur Shell-Anweisung wird