https://hofer.at
Analyse abgeschlossen. 3 Schwachstellen gefunden · Score 82/100.
1 maskierten Befund freischalten
1 E-Mails · sauberer PDF-Report · Verlauf
Sensible Aufklärungs-Befunde
Recon · OSINT 🔒 maskiertDiese Section enthält sensible Befunde (gefundene E-Mails, sensible Pfade, Server-Versionen). Für nicht-eingeloggte Besucher werden konkrete Werte maskiert — nur Anzahl und Status sichtbar. → Login für Vollansicht
da●●●@●●●.at
🔒 1 E-Mails für Spam-Bots auslesbar — kostenlos registrieren für komplette Liste
Vorschau der Site
Screenshot wird im Hintergrund erstellt …
Quick Wins — höchster Hebel
Diese 3 Änderungen heben deinen Score am stärksten.
82 → 100
-
1
X-Frame-Options fehlt i X-Frame-Options Verhindert, dass deine Seite in ein iframe einer fremden Seite eingebettet wird. Schutz vor Clickjacking, bei dem Nutzer unsichtbar Aktionen auf deiner Seite auslösen.
+10 ⏱ 5 Minuten · leichtFehlt – Seite ist anfällig für Clickjacking.
-
2
SSL-Zertifikat läuft in 56 Tagen ab
+5 ⏱ 5 Minuten · leichtEs ist Zeit, die Erneuerung zu planen. Auto-Renewal sollte spätestens jetzt eingerichtet sein.
-
3
1 E-Mail-Adresse(n) auf der Seite ungeschützt
+3 ⏱ 15-30 Minuten · mittelSpam-Bots und Scraper finden diese Adressen automatisch in unter einer Sekunde:
datenschutz@hofer.at
Scan-Kategorien
SSL & HTTPS
Bestanden ✓
HTTP Headers
Probleme ✗
DNS & Infrastruktur
Bestanden ✓
E-Mail Schutz
Bestanden ✓
Offene Ports
Bestanden ✓
DSGVO
Bestanden ✓
Gefundene Schwachstellen
X-Frame-Options fehlt
Fehlt – Seite ist anfällig für Clickjacking.
+ 2 weitere Schwachstellen gesperrt
Inkl. Handlungsempfehlungen & Fixes — kostenlos freischalten
Diesen Report als PDF speichern
Mit kostenlosem Account: vollständiger PDF-Bericht inkl. Screenshot, Quick Wins, allen Empfehlungen und Schritt-für-Schritt-Fixes — perfekt zum Vorzeigen, Ablegen oder an Kunden weitergeben.
Begriffe im Bericht
Verstehe was wir gefunden haben — die wichtigsten Konzepte hinter den Befunden, kompakt erklaert.
SSL & TLS
Wie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.
HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeS…
CAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuan…
DMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeute…
SPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und…
DKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, S…
HTTP-Header
Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und…
X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Wert…
Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und …
Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven u…
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting…
Frontend & APIs
SRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — vers…
Cross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests…
Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF a…