https://parlament.gv.at
Analyse abgeschlossen. 3 Schwachstellen gefunden · Score 70/100.
Vollansicht + PDF-Report freischalten
sauberer PDF-Report · Verlauf
Sensible Aufklärungs-Befunde
Recon · OSINT 🔒 maskiertDiese Section enthält sensible Befunde (gefundene E-Mails, sensible Pfade, Server-Versionen). Für nicht-eingeloggte Besucher werden konkrete Werte maskiert — nur Anzahl und Status sichtbar. → Login für Vollansicht
Vorschau der Site
Screenshot wird im Hintergrund erstellt …
Quick Wins — höchster Hebel
Diese 3 Änderungen heben deinen Score am stärksten.
70 → 100
-
1
Content-Security-Policy fehlt i CSP Content-Security-Policy: Definiert, von welchen Quellen Scripts, Bilder und Styles geladen werden dürfen. Der wirksamste Schutz gegen Cross-Site-Scripting (XSS) – Angreifer können keinen fremden Code mehr einschleusen.
+10 ⏱ 30 Minuten · mittelKeine CSP – Hohes XSS-Risiko.
-
2
X-Frame-Options fehlt i X-Frame-Options Verhindert, dass deine Seite in ein iframe einer fremden Seite eingebettet wird. Schutz vor Clickjacking, bei dem Nutzer unsichtbar Aktionen auf deiner Seite auslösen.
+10 ⏱ 5 Minuten · leichtFehlt – Seite ist anfällig für Clickjacking.
-
3
X-Content-Type-Options fehlt i X-Content-Type-Options Verhindert, dass der Browser den deklarierten MIME-Type einer Datei 'überrät' (MIME-Sniffing). Schützt davor, dass z. B. eine als Bild getarnte HTML-Datei als Code ausgeführt wird.
+10 ⏱ 5 Minuten · leichtFehlt – Browser könnte Dateien falsch interpretieren.
Scan-Kategorien
SSL & HTTPS
Bestanden ✓
HTTP Headers
Probleme ✗
DNS & Infrastruktur
Bestanden ✓
E-Mail Schutz
Bestanden ✓
Offene Ports
Bestanden ✓
DSGVO
Probleme ✗
Gefundene Schwachstellen
Content-Security-Policy fehlt
Keine CSP – Hohes XSS-Risiko.
+ 2 weitere Schwachstellen gesperrt
Inkl. Handlungsempfehlungen & Fixes — kostenlos freischalten
Diesen Report als PDF speichern
Mit kostenlosem Account: vollständiger PDF-Bericht inkl. Screenshot, Quick Wins, allen Empfehlungen und Schritt-für-Schritt-Fixes — perfekt zum Vorzeigen, Ablegen oder an Kunden weitergeben.
Begriffe im Bericht
Verstehe was wir gefunden haben — die wichtigsten Konzepte hinter den Befunden, kompakt erklaert.
SSL & TLS
Wie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.
HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeS…
CAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuan…
DMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeute…
SPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und…
DKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, S…
HTTP-Header
Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und…
X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Wert…
Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und …
Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven u…
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting…
Frontend & APIs
SRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — vers…
Cross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests…
Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF a…