Engangs · Signert av sikkerhetsekspert · 3 arbeidsdager
Vi ser bedriften din
slik en angriper gjør.
30 passive sikkerhetssjekker pluss aktiv pen-test-recon mot domenet, serveren og web-stacken bak det. Levert som en kort, lesbar PDF: oppsummering du leser på 2 minutter, detaljerte fix-instruksjoner du kan jobbe ut fra selv eller sende til utvikleren/webbyrået ditt, og en prioritert handlingsplan. Trenger du hjelp til å fikse funnene? Jeg kan også ta jobben, se nedenfor. Ingen abonnement, ingen lockin.
I 8 av 10 norske SMB-er finner vi minst én kritisk sårbarhet. De vanligste funnene:
- Eksponerte
.env-filer med passord og API-nøkler - Åpne admin-paneler uten tilgangskontroll
- Manglende DMARC, så hvem som helst kan sende e-post i ditt navn
- Utdaterte CMS-versjoner med kjente sårbarheter
- Lekkede passord fra ansatte funnet på dark web
Ordinær pris fra 2026: 4 990 kr.
Hva du får
En rapport du kan ta med i styremøtet.
Ikke 47 sider med tekniske parametere du må tolke selv. En lesbar PDF som forteller hva som er sterkt, hva som er svakt, og hva som må fikses først.
01
Eksekutiv-sammendrag
Én side for styret eller daglig leder: hovedfunn, score, og handlingsanbefaling. Klar til å videresende.
02
30 tekniske sjekkpunkter
SSL/TLS, DNS, e-post-autentisering, sikkerhetshoder, eksponerte filer, dark-web-eksponering, og mer. Hver med begrunnelse.
03
Prioritert handlingsplan
Hva som må fikses denne uken, hva som kan vente, og hva som er valgfritt. Estimert arbeidstid for hver.
Hva som faktisk sjekkes
- SSL/TLS-sertifikat og kjede
- Sertifikat-utløpsdato
- HTTP-til-HTTPS-redirect
- HSTS-header
- DNSSEC-status
- CAA-records
- SPF-record
- DKIM-konfigurasjon
- DMARC-policy
- MTA-STS
- TLS-RPT
- BIMI-record
- MX-leverandør-helse
- X-Frame-Options
- Content-Security-Policy
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- Server-header-eksponering
- Eksponert .git, .env, backup-filer
- Open admin-paneler
- Underdomene-takeover-risiko
- Certificate Transparency-logg
- JS-tredjeparts-integritet
- Tracker- og cookie-analyse
- WHOIS-helse
- Blokk-liste-sjekk
- HIBP-treff på alle ansatt-e-poster
- Dark-web-eksponering for domenet
- Phishing-domener som ligner ditt
Slik er rapporten strukturert
Lesbar PDF, ikke et data-dump.
Vanligvis 10 til 30 sider, avhengig av hvor mange funn som dukker opp. Første side leses på 2 minutter, og du trenger ikke være tekniker for å forstå hva som må fikses og hva det betyr. Resten er detaljerte fix-instruksjoner: noe kan du gjøre selv (passord, innstillinger, oppdateringer), resten er handover-klar slik at du kan sende den rett til utvikleren eller webbyrået ditt, eller la meg i Mustvedt Sentinel ta jobben på timebasis.
Innhold
- 01Eksekutiv-sammendrags. 2
- 02Total-score og kritiske funns. 3
- 03DNS, sertifikat og infrastrukturs. 4–5
- 04E-post-autentisering, SPF/DKIM/DMARCs. 6–7
- 05HTTP-headers og web-sikkerhets. 8
- 06Offensiv recon, Nmap/Nikto-funns. 9–10
- 07Dark web og lekkasje-eksponerings. 11
- 08Prioritert handlingsplans. 12–13
- 09Vedlegg, rådata og kommandoer brukts. 14
Et komplett eksempel på en ferdig leveranse.
Slik tester vi
Vi ser det angriperne ser, ikke bare det passive sjekker viser.
De fleste domene-skannere stopper ved DNS-oppslag og HTTP-headers, det er trygt og lite, og det er det Cloudflare og MXToolbox gjør gratis. Vi går ett steg lenger. I tillegg til de 30 passive sjekkene over, kjører vi de samme offensive verktøyene en profesjonell pen-tester ville brukt. Med ditt skriftlige samtykke får du da et reelt utenfra-perspektiv, ikke en sanitisert versjon.
A1 · Aktiv port-skann
Nmap / service-fingerprint
Hvilke tjenester svarer faktisk på utsiden? Hvilke versjoner? Glemte porter, gamle SSH-versjoner, eksponerte database-instanser, alt som ligger åpent.
A2 · Web-sårbarhet
Nikto / 6 700+ kjente CVE-er
Web-sårbarhets-skanner som leter etter kjente sårbarheter, gamle CMS-versjoner, standard admin-stier og vanlige feilkonfigurasjoner.
A3 · SSL-dybdetest
testssl.sh / A+ til F karakter
Full SSL/TLS-revisjon. Svake ciphers, sertifikat-kjede-feil, BEAST/POODLE-eksponering, og en faktisk karakter på konfigurasjonen.
A4 · Innholds-skann
gobuster / skjulte filer og mapper
Leter etter glemte filer som angripere flagger først: .git/, .env, backup-zip-er, eksponerte admin-paneler.
A5 · OSINT-recon
theHarvester / passiv recon
Subdomener, ansatt-e-poster, infrastruktur som er offentlig tilgjengelig via Bing/crt.sh/OTX. Helt passivt, treffer aldri serveren din direkte.
A6 · Dark-web-eksponering
SpiderFoot / leakdatabaser, stealer-logger
Sjekker om credentials, e-postadresser eller selve domenet ligger eksponert i offentlige paste-sites, leakdatabaser og kjente stealer-logger.
Hvorfor betale 1 990 kr
Plassen mellom gratis-verktøy og full pen-test.
Du kan kjøre MXToolbox gratis og få halvparten av disse svarene. Du kan ansette et pen-test-byrå fra 50 000 kr og oppover, og få fem ganger så mye. Denne rapporten ligger der i midten, og er der de fleste norske SMB-er faktisk trenger noe.
Skrevet og signert av
Christer Mustvedt.
Jeg har bygget Mustvedt Sentinel selv, fra DNS-overvåkning til dark-web-recon, og kjenner verktøyene fra innsiden. Når du bestiller en rapport, er det meg du forholder deg til, ikke en sales-rep eller en automatisk skanner. Hvert eneste funn blir lest, kontekstualisert og prioritert manuelt før det havner i PDF-en.
Jeg fikser også funnene, hvis du vil
Mange kunder vil ha rapporten og hjelp til å fikse det som dukker opp. Mustvedt Sentinel tilbyr implementering på timebasis: passordrotering, sikkerhetshoder, DNS- og e-post-oppsett (SPF/DKIM/DMARC), SSL-konfig, fjerning av eksponerte filer, oppdatering av sårbare komponenter. Du bestemmer omfanget etter at du har lest rapporten, og du står helt fritt til å bruke en annen leverandør eller gjøre det selv.
Tilbakemeldinger
Det kunder forteller etter rapporten.
Tre kunder, tre helt forskjellige bedrifter. Felles for alle er at de fant noe de ikke visste om.
Vi trodde vi hadde det meste i orden. De fant en staging-server som hadde stått åpen siden 2022, med tilgang til samme database som produksjonen. Det var litt kaldsvett da jeg leste rapporten, men det er verre å ikke vite. Fikk konkrete steg å gi til IT-leverandøren, ikke bare «noe er galt».
Forventet meg en automatisk skanner-rapport på 80 sider med 200 «missing security header»-funn. Fikk i stedet 11 prioriterte sårbarheter med proof-of-concept for hver. To av dem ville en standard Nessus-skann aldri funnet, blant annet en IDOR på ordre-endepunktet vårt. Verdt prisen på det alene.
Helt ærlig bestilte jeg mest for å ha noe å vise en klient som spurte hva vi gjorde med sikkerheten. Regnet med at alt var i orden. Så fant rapporten at e-posten vår manglet DMARC, altså at hvem som helst kunne sendt faktura i vårt navn. For et advokatfirma er ikke det en liten sak. Det var fikset samme uke.
Slik foregår det
Fem steg, 3 arbeidsdager.
01 · I dag
Du bestiller
Du fyller ut skjemaet, bekrefter eierskap til domenet, og betaler 1 990 kr via Stripe. Jeg får varsel umiddelbart.
02 · Dag 1
Passive sjekker
De 30 passive sjekkpunktene: DNS, SSL, e-post-auth, headers, dark web, lekkasje-databaser. Automatisert, men hvert funn gjennomgås manuelt.
03 · Dag 2
Offensiv recon
Aktive verktøy: Nmap, Nikto, testssl.sh, gobuster og SpiderFoot kjøres mot domenet ditt. Dette er det angripere ville sett, og det skiller rapporten fra ren passiv skann.
04 · Dag 3
Du får PDF-en
Signert PDF til e-posten din, med eksekutiv-sammendrag, tekniske detaljer og prioritert handlingsplan.
05 · Etter
14 dagers oppfølging
Du kan stille spørsmål på e-post i 14 dager. Jeg svarer alltid samme dag.
Vanlige spørsmål
Det folk lurer på.
Hvem leverer rapporten?
Christer Mustvedt, personlig. Mustvedt Sentinel er et enkeltpersonforetak, så du forholder deg til samme person fra bestilling til leveranse.
Hva om dere ikke finner noe galt?
Da får du fortsatt rapporten. Det er ofte verdt det å ha skriftlig dokumentasjon på at domenet er i god stand. Mange bruker den til revisjon eller forsikringsdokumentasjon.
Trenger jeg tilgang til serveren eller hosting?
Nei. Alle 30 sjekkene gjøres fra utsiden, fra et angripers perspektiv. Du trenger bare å si hvilket domene som skal sjekkes.
Hva med pågående overvåkning?
Rapporten er et øyeblikksbilde. Hvis du vil at jeg skal overvåke domenet daglig fremover, har vi et PLUSS-abonnement på 179 kr/mnd. Velger du det innen 30 dager etter rapporten, trekkes 1 490 kr fra første års abonnement.
Er prisen inkl. mva?
1 990 kr eks. mva (2 487,50 kr inkl. 25 % mva). Faktura mottas via Stripe.
Hva om dere finner alvorlige sårbarheter?
Hvis jeg finner noe som krever umiddelbar handling (eksponerte credentials, åpne admin-paneler, kritiske CVE-er), varsler jeg deg umiddelbart, ikke etter at PDF-en er ferdig. Vi tar en telefonsamtale og blir enige om neste steg. Trenger du hjelp til å fikse det, kan jeg ta jobben på timebasis. Du står fritt til å bruke meg, et webbyrå eller en utvikler du allerede har.
Hvorfor er lanseringsprisen 1 990 kr?
1 990 kr eks. mva er lanseringsprisen mens jeg bygger en case-portfolio fra de første rapportene. Ordinær pris fra 2026 er 4 990 kr eks. mva. Bestiller du nå, gjelder 1 990 kr for din rapport uavhengig av senere prisjustering.
Kan dere også fikse problemene rapporten avdekker?
Ja. Mange kunder vil ikke bare ha en rapport, de vil også ha hjelp til å gjennomføre fiksene. Jeg tar oppdrag på timebasis for implementering: passordrotering, sikkerhetshoder, e-post-autentisering (SPF/DKIM/DMARC), SSL-konfig, fjerning av eksponerte filer, oppdatering av sårbare komponenter. Du bestemmer hva som skal gjøres etter at du har lest rapporten, og det er aldri et krav for å motta selve rapporten.
Kan jeg få refusjon?
Hvis du ombestemmer deg før jeg har startet på rapporten, ja, full refusjon. Hvis arbeidet er igangsatt, nei. Send e-post til Christer@mustvedt.net så finner vi ut av det.
3 arbeidsdager fra bestilling, har du rapporten.
Ingen demo. Ingen "bestill en samtale". Ingen abonnement.
Bestill nå, 1 990 kr →