Hva er sikkerhetstesting?
Sikkerhetstesten kjører passive, ikke-destruktive kontroller mot applikasjonen for å avdekke
vanlige konfigurasjonssvakheter og sårbarheter. Ingen data endres og ingen angrep gjennomføres.
Hva testes
- 📋 HTTP-sikkerhetshoder (8 stk.)
- 🔒 HTTPS-håndhevelse og HSTS
- 🍪 Cookie-sikkerhetsattributter
- 📂 Sensitive stier og filer
- 💉 Input-refleksjon (XSS)
Hva måles
- Manglende sikkerhetshoder
- Informasjonslekkasje i svar
- Mixed content (HTTP på HTTPS)
- CORS-feilkonfigurasjon
- Tilgjengelige sensitive stier
Metode og begrensning
- Passiv analyse – ingen destruktive tester
- Kjøres fra lokalt nettverk
- Playwright + HTTP-forespørsler
- Krever ikke innlogging
- Daglig kjøring kl. 08:30
📋 HTTP-sikkerhetshoder (4 funn)
Kontrollerer referrer-informasjon i forespørsler
Begrenser tilgang til nettleserfunksjoner (kamera, GPS osv.)
Isolerer nettleservinduet mot cross-origin-angrep
Begrenser hvem som kan laste inn sidens ressurser
✅ 4 sjekk bestått
- ✅ HSTS er satt — Verdi: max-age=31536000; includeSubDomains
- ✅ Content-Security-Policy er satt — Verdi: default-src *.ks.no min.kommune.no; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.ks.no min.kommune.no; object-src 'none'; style-src 'self' 'unsafe-inline' *.ks.no min.kommune.no; img-src 'self' data: *.ks.no min.kommune.no; base-uri 'self';
- ✅ X-Frame-Options er satt — Verdi: sameorigin
- ✅ X-Content-Type-Options er satt — Verdi: nosniff
📂 Sensitive stier og filer (2 funn)
API-rotendepunkt – HTTP 200, 12109 tegn innhold
https://tilskudd.fiks.test.ks.no/api
Robot-eksklusjonsfil – HTTP 200, 67 tegn innhold
https://tilskudd.fiks.test.ks.no/robots.txt
🔀 Mixed content (0 funn)
Ingen funn i denne kategorien
✅ 1 sjekk bestått
- ✅ Ingen mixed content funnet — Alle ressurser lastes over HTTPS