Sikkerhetsrapport

https://tilskudd.fiks.test.ks.no/ · 2026-04-23 08:31 · 3s · Chromium 147
Forside UU-rapport Monkey-test Sikkerhetstest Negativ test Ytelsestest Tidligere rapporter
Hva er sikkerhetstesting?

Sikkerhetstesten kjører passive, ikke-destruktive kontroller mot applikasjonen for å avdekke vanlige konfigurasjonssvakheter og sårbarheter. Ingen data endres og ingen angrep gjennomføres.

Hva testes
  • 📋 HTTP-sikkerhetshoder (8 stk.)
  • 🔒 HTTPS-håndhevelse og HSTS
  • 🍪 Cookie-sikkerhetsattributter
  • 📂 Sensitive stier og filer
  • 💉 Input-refleksjon (XSS)
Hva måles
  • Manglende sikkerhetshoder
  • Informasjonslekkasje i svar
  • Mixed content (HTTP på HTTPS)
  • CORS-feilkonfigurasjon
  • Tilgjengelige sensitive stier
Metode og begrensning
  • Passiv analyse – ingen destruktive tester
  • Kjøres fra lokalt nettverk
  • Playwright + HTTP-forespørsler
  • Krever ikke innlogging
  • Daglig kjøring kl. 08:30
67
Sikkerhetsscore

Basert på 7 funn fordelt på 8 testområder. Testen er passiv og ikke-destruktiv.

0
Kritiske
2
Alvorlige
1
Moderate
4
Lave
8
Bestått
📋 HTTP-sikkerhetshoder (4 funn)
lav Manglende Referrer-Policy

Kontrollerer referrer-informasjon i forespørsler

lav Manglende Permissions-Policy

Begrenser tilgang til nettleserfunksjoner (kamera, GPS osv.)

lav Manglende COOP

Isolerer nettleservinduet mot cross-origin-angrep

lav Manglende CORP

Begrenser hvem som kan laste inn sidens ressurser

✅ 4 sjekk bestått
  • ✅ HSTS er satt — Verdi: max-age=31536000; includeSubDomains
  • ✅ Content-Security-Policy er satt — Verdi: default-src *.ks.no min.kommune.no; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.ks.no min.kommune.no; object-src 'none'; style-src 'self' 'unsafe-inline' *.ks.no min.kommune.no; img-src 'self' data: *.ks.no min.kommune.no; base-uri 'self';
  • ✅ X-Frame-Options er satt — Verdi: sameorigin
  • ✅ X-Content-Type-Options er satt — Verdi: nosniff
🕵️ Informasjonslekkasje (0 funn)
Ingen funn i denne kategorien
🔒 HTTPS-håndhevelse (0 funn)
Ingen funn i denne kategorien
✅ 1 sjekk bestått
  • ✅ HTTP omdirigerer til HTTPS — Redirect: https://tilskudd.fiks.test.ks.no/
📂 Sensitive stier og filer (2 funn)
alvorlig Sensitiv sti tilgjengelig: /api

API-rotendepunkt – HTTP 200, 12109 tegn innhold

https://tilskudd.fiks.test.ks.no/api
alvorlig Sensitiv sti tilgjengelig: /robots.txt

Robot-eksklusjonsfil – HTTP 200, 67 tegn innhold

https://tilskudd.fiks.test.ks.no/robots.txt
🍪 Cookie-sikkerhet (1 funn)
middels Cookie "07c80249a0769e869d701c22923ad7d0" har svake sikkerhetsattributter

SameSite er None eller ikke satt

🔀 Mixed content (0 funn)
Ingen funn i denne kategorien
✅ 1 sjekk bestått
  • ✅ Ingen mixed content funnet — Alle ressurser lastes over HTTPS
💉 Input-refleksjon (XSS) (0 funn)
Ingen funn i denne kategorien
✅ 1 sjekk bestått
  • ✅ Søkefelt ser ut til å rense input — Payload ble ikke reflektert urensket
🌐 CORS-konfigurasjon (0 funn)
Ingen funn i denne kategorien
✅ 1 sjekk bestått
  • ✅ Ingen CORS-hoder – standard same-origin-policy gjelder
Slik beregnes sikkerhetsscoren
Kritisk funn× 20 poeng Alvorlig funn× 10 poeng Moderat funn× 5 poeng Lavt funn× 2 poeng

Score = maks(0, 100 − sum av trekk)  ·  Grønn ≥ 80  ·  Gul 50–79  ·  Rød < 50

Alle tester som kjøres ▾
📋 HTTP-sikkerhetshoder
  • · HSTS (Strict-Transport-Security)
  • · Content-Security-Policy
  • · X-Frame-Options
  • · X-Content-Type-Options
  • · Referrer-Policy
  • · Permissions-Policy
  • · COOP (Cross-Origin-Opener-Policy)
  • · CORP (Cross-Origin-Resource-Policy)
🔒 HTTPS & stier
  • · HTTP → HTTPS-omdirigering
  • · Sensitive stier: /api, /admin, /env, /.git
  • · Sensitive stier: /robots.txt, /backup, /config
  • · Mixed content (HTTP-ressurser på HTTPS)
🍪 Cookies & klient
  • · Cookie: SameSite-attributt
  • · Cookie: Secure-flagg
  • · Cookie: HttpOnly-flagg
  • · Input-refleksjon / XSS i søkefelt
  • · CORS: Access-Control-Allow-Origin