Audit Report 11:28:27 Cloudflare

heute.at

Item: Heute.at
Rating: 57
Author: Webscan Radar

Analyse abgeschlossen. 5 Schwachstellen gefunden · Score 57/100.

D 57/100

Security

100 /100

DSGVO

Vollansicht · kostenlos

1 maskierten Befund freischalten

1 E-Mails · sauberer PDF-Report · Verlauf

Kostenlos freischalten

Kostenlos freischalten · 30 Sek.

Sensible Aufklärungs-Befunde

Recon · OSINT 🔒 maskiert

Diese Section enthält sensible Befunde (gefundene E-Mails, sensible Pfade, Server-Versionen). Für nicht-eingeloggte Besucher werden konkrete Werte maskiert — nur Anzahl und Status sichtbar. → Login für Vollansicht

robots.txt — nicht vorhanden

sitemap.xml — nicht vorhanden

.git-Verzeichnis ✓ geschützt

Server-Disclosure ✓ versteckt

Sensible Dateien ✓ keine der 13 geprüften Dateien erreichbar

E-Mail-Adressen ungeschützt ⚠ 1 für Spam-Bots sichtbar

re●●●@●●●.at

🔒 1 E-Mails für Spam-Bots auslesbar — kostenlos registrieren für komplette Liste

Vorschau der Site

klick zum Öffnen

Site öffnen

Screenshot wird im Hintergrund erstellt …

⚡

Quick Wins — höchster Hebel

Diese 3 Änderungen heben deinen Score am stärksten.

+30 Punkte

57 → 87

1

Content-Security-Policy fehlt i CSP Content-Security-Policy: Definiert, von welchen Quellen Scripts, Bilder und Styles geladen werden dürfen. Der wirksamste Schutz gegen Cross-Site-Scripting (XSS) – Angreifer können keinen fremden Code mehr einschleusen.
+10 ⏱ 30 Minuten · mittel

Keine CSP – Hohes XSS-Risiko.
2

Strict-Transport-Security fehlt i HSTS Strict-Transport-Security: HTTP-Header, der den Browser zwingt, die Seite immer über HTTPS zu laden. Ohne HSTS kann ein Angreifer beim ersten Aufruf die Verbindung auf unverschlüsseltes HTTP umleiten und Daten mitlesen.
+10 ⏱ 5 Minuten · leicht

HSTS fehlt – Verbindung kann auf HTTP herabgestuft werden.
3

X-Frame-Options fehlt i X-Frame-Options Verhindert, dass deine Seite in ein iframe einer fremden Seite eingebettet wird. Schutz vor Clickjacking, bei dem Nutzer unsichtbar Aktionen auf deiner Seite auslösen.
+10 ⏱ 5 Minuten · leicht

Fehlt – Seite ist anfällig für Clickjacking.

+ 2 weitere Schwachstellen — Details in der Liste unten

Scan-Kategorien

SSL & HTTPS

Bestanden ✓

HTTP Headers

Probleme ✗

DNS & Infrastruktur

Bestanden ✓

E-Mail Schutz

Bestanden ✓

Offene Ports

Bestanden ✓

DSGVO

Bestanden ✓

Gefundene Schwachstellen

1 Kritisch 3 Mittel 1 Niedrig

High

Content-Security-Policy fehlt

Keine CSP – Hohes XSS-Risiko.

Medium

Strict-Transport-Security fehlt

HSTS fehlt – Verbindung kann auf HTTP herabgestuft werden.

Medium

X-Frame-Options fehlt

Fehlt – Seite ist anfällig für Clickjacking.

Medium

X-Content-Type-Options fehlt

Fehlt – Browser könnte Dateien falsch interpretieren.

+ 4 weitere Schwachstellen gesperrt

Inkl. Handlungsempfehlungen & Fixes — kostenlos freischalten

Diesen Report als PDF speichern

Mit kostenlosem Account: vollständiger PDF-Bericht inkl. Screenshot, Quick Wins, allen Empfehlungen und Schritt-für-Schritt-Fixes — perfekt zum Vorzeigen, Ablegen oder an Kunden weitergeben.

✓ PDF-Download ✓ Scan-Historie ✓ Domain-Monitoring ✓ E-Mail-Alerts ✓ Re-Scan-Diff

Kostenlos registrieren · 30 Sek. Bereits ein Konto? Einloggen →

Begriffe im Bericht

Verstehe was wir gefunden haben — die wichtigsten Konzepte hinter den Befunden, kompakt erklaert.

SSL & TLS

SSL/TLS erklärt ssl

Wie SSL/TLS-Zertifikate funktionieren, wie der Handshake abläuft und worauf du beim Prüfen achten solltest — verständlich erklärt.

HSTS erklärt hsts

HSTS (Strict-Transport-Security) zwingt Browser dauerhaft auf HTTPS. Hier erfaehrst du, wie der Header aufgebaut ist, was includeS…

CAA-Record erklärt caa-record

CAA-Records bestimmen, welche Zertifizierungsstellen SSL-Zertifikate fuer deine Domain ausstellen duerfen. Schutz gegen Mis-Issuan…

DNS

DNSSEC erklärt dnssec

DNSSEC schuetzt DNS-Antworten kryptografisch gegen Manipulation und Cache-Poisoning. Aufbau, Schluessel-Hierarchie (KSK/ZSK) und w…

E-Mail

DMARC erklärt dmarc

DMARC schuetzt deine Domain vor E-Mail-Spoofing. Hier liest du, wie der Record aufgebaut ist, was p=none/quarantine/reject bedeute…

SPF erklärt spf

SPF (Sender Policy Framework) verhindert, dass fremde Server unter deinem Domainnamen E-Mails verschicken. Aufbau, Mechanismen und…

DKIM erklärt dkim

DKIM signiert deine ausgehenden E-Mails kryptografisch — der Empfänger erkennt zuverlässig, ob eine Mail von dir stammt. Aufbau, S…

HTTP-Header

CSP erklärt csp

Die Content-Security-Policy ist der wichtigste Browser-seitige Schutz gegen XSS. Hier erfaehrst du, wie eine CSP aufgebaut ist und…

X-Frame-Options erklärt x-frame-options

X-Frame-Options verhindert Clickjacking-Angriffe, indem es regelt, ob deine Webseite in einem iframe eingebettet werden darf. Wert…

Referrer-Policy erklärt referrer-policy

Die Referrer-Policy regelt, welche Informationen beim Klick auf externe Links uebertragen werden. Werte, Privacy-Auswirkungen und …

Permissions-Policy erklärt permissions-policy

Die Permissions-Policy schaltet Browser-Features wie Geolocation, Mikrofon, Kamera und FLoC selektiv ab. Aufbau, alle Direktiven u…

MIME-Sniffing & X-Content-Type-Options erklärt mime-sniffing

X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type von Dateien selbst raten. Schutz gegen Cross-Site-Scripting…

Frontend & APIs

Subresource Integrity erklärt subresource-integrity

SRI sichert externe JavaScript- und CSS-Dateien gegen Manipulation auf dem CDN. Hash-basierte Integritätsprüfung im Browser — vers…

CORS erklärt cors

Cross-Origin Resource Sharing regelt, welche fremden Webseiten deine APIs aufrufen duerfen. Same-Origin-Policy, Preflight-Requests…

Cookie-Flags erklärt cookie-flags

Secure, HttpOnly und SameSite — die drei wichtigsten Cookie-Flags und wozu sie da sind. Wie du Sessions gegen XSS, MITM und CSRF a…

→ Alle 15 Lexikon-Artikel

Achtung — sensible Befunde im Scan

https://heute.at

1 maskierten Befund freischalten

Sensible Aufklärungs-Befunde

Vorschau der Site

Quick Wins — höchster Hebel

Scan-Kategorien

Gefundene Schwachstellen

Begriffe im Bericht

SSL & TLS

DNS

E-Mail

HTTP-Header

Frontend & APIs