Què analitzem?
Busquem fitxers i directoris sensibles que no haurien de ser accessibles des d'Internet. Aquests fitxers poden contenir credencials, codi font, backups de bases de dades o configuracions que comprometen la seguretat.
Fitxers buscats
Repositoris .git
El directori .git exposat pot revelar tot el codi font i l'historial.
Fitxers .env
Variables d'entorn amb contrasenyes, API keys i configuracions.
Backups
Fitxers .sql, .zip, .tar.gz amb còpies de seguretat exposades.
Configuracions
wp-config.php, config.php, settings.py i similars.
Logs
Fitxers de log que poden contenir informació sensible.
Panells d'administració
/admin, /wp-admin, /phpmyadmin i altres accessos.
Per què és important?
Un fitxer .env exposat pot contenir les credencials de base de dades, API keys de serveis de pagament, o secrets d'autenticació. Amb aquesta informació, un atacant pot comprometre completament l'aplicació.
Impacte si falla
- Exposició de credencials i API keys
- Accés complet al codi font
- Robatori de bases de dades completes
- Compromís total del sistema
Sancions potencials
| Tipus d'empresa | Multa orientativa |
|---|---|
| Microempresa | 10.000 - 100.000 € |
| PIME | 50.000 - 500.000 € |
| Gran empresa | Fins a 20M € o 4% facturació |