https://lmu.de
Analyse abgeschlossen. 2 Schwachstellen gefunden · Score 85/100.
Vollansicht + PDF-Report freischalten
sauberer PDF-Report · Verlauf
Sensible Aufklärungs-Befunde
Recon · OSINT 🔒 maskiertDiese Section enthält sensible Befunde (gefundene E-Mails, sensible Pfade, Server-Versionen). Für nicht-eingeloggte Besucher werden konkrete Werte maskiert — nur Anzahl und Status sichtbar. → Login für Vollansicht
Vorschau der Site
Screenshot wird im Hintergrund erstellt …
Quick Wins — höchster Hebel
Diese 2 Änderungen heben deinen Score am stärksten.
85 → 100
-
1
Content-Security-Policy fehlt i CSP Content-Security-Policy: Definiert, von welchen Quellen Scripts, Bilder und Styles geladen werden dürfen. Der wirksamste Schutz gegen Cross-Site-Scripting (XSS) – Angreifer können keinen fremden Code mehr einschleusen.
+10 ⏱ 30 Minuten · mittelKeine CSP – Hohes XSS-Risiko.
-
2
SSL-Zertifikat läuft in 39 Tagen ab
+5 ⏱ 5 Minuten · leichtEs ist Zeit, die Erneuerung zu planen. Auto-Renewal sollte spätestens jetzt eingerichtet sein.
Scan-Kategorien
SSL & HTTPS
Bestanden ✓
HTTP Headers
Probleme ✗
DNS & Infrastruktur
Bestanden ✓
E-Mail Schutz
Bestanden ✓
Offene Ports
Bestanden ✓
DSGVO
Bestanden ✓
Gefundene Schwachstellen
Content-Security-Policy fehlt
Keine CSP – Hohes XSS-Risiko.
+ 1 weitere Schwachstellen gesperrt
Inkl. Handlungsempfehlungen & Fixes — kostenlos freischalten
Diesen Report als PDF speichern
Mit kostenlosem Account: vollständiger PDF-Bericht inkl. Screenshot, Quick Wins, allen Empfehlungen und Schritt-für-Schritt-Fixes — perfekt zum Vorzeigen, Ablegen oder an Kunden weitergeben.
Begriffe im Bericht
Verstehe was wir gefunden haben — die wichtigsten Konzepte hinter den Befunden, kompakt erklaert.
SSL & TLS
Wie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.
HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeS…
CAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuan…
DMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeute…
SPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und…
DKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, S…
HTTP-Header
Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und…
X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Wert…
Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und …
Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven u…
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting…
Frontend & APIs
SRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — vers…
Cross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests…
Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF a…