Gültig
Zertifikat-Verifikation
Echtheitsprüfung des IFCSD Sicherheitszertifikats · Nr. IFCSD-WEB-2026-0621-BDM
Zertifiziert durch das Institut für Cybersicherheit Deutschland
Zertifikats-Details
Prüfanforderungen
-
AgentShield Grade A (Score ≥ 90)98/100 · Secrets 100, Permissions 90, Hooks 100, MCP 100, Agents 100
-
Scan: 0 kritische/hohe BefundeCritical 0 · High 0 · Medium 2 (ignoriert)
-
OWASP Review: 0 kritische/hohe BefundeNach Fix: Critical 0 · High 0 · 1 LOW verbleibend (A09: kein Log bei Rate-Limit-Ereignissen)
-
A01 Access ControlKeine privilegierten Operationen · kein IDOR-Risiko
-
A02 Secrets/KryptografiereCAPTCHA Secret → getenv() · kein Klartext-Secret im Code
-
A03 Injection / XSShtmlspecialchars() überall · Header-Injection-Check · kein innerHTML mit Userdaten · keine SQL-Abfragen
-
A04 Insecure DesignRate-Limit (10/h) · Honeypot · reCAPTCHA · Origin/Referer-Check · DSGVO-Consent
-
A05 Security MisconfigurationCSP + Referrer-Policy + X-Content-Type-Options + X-Frame-Options · kein Debug-Modus
-
A06 Outdated ComponentsKeine externen Abhängigkeiten · Vanilla JS · kein npm/composer
-
A07 Auth FailuresN/A – kein Authentifizierungssystem
-
A08 Software IntegrityKein Datei-Upload · kein unserialize() · json_decode nur auf internen Daten
-
A09 Loggingerror_log() bei mail()-Fehlern · LOW: Rate-Limit-Events nicht geloggt
-
A10 SSRFAusgehende Requests nur zu hardcoded Google-URL · keine User-kontrollierten URLs
-
Dependencies: 0 CVEsKein Paketmanager – keine bekannten CVEs möglich
Verbleibende Befunde (akzeptiert)
LOW
A09
Behobene Schwachstellen (3)
kontakt/submit.php:106 — reCAPTCHA Secret Key hardcodiert → getenv('RECAPTCHA_SECRET'). Fallback mit error_log() bei fehlendem Env-Wert.
kontakt/.htaccess:neu — Neue .htaccess erstellt: SetEnv RECAPTCHA_SECRET + Direktzugriff auf submit.php via LimitExcept POST blockiert.
kontakt/submit.php:36–39 — Referrer-Policy: strict-origin-when-cross-origin + Content-Security-Policy: default-src 'none' ergänzt.