Cosa analizziamo?
Spesso server e applicazioni web lasciano esposti file che dovrebbero essere privati. Questi file possono contenere credenziali, intere copie del database o codice sorgente. Scansioniamo il tuo server alla ricerca di queste risorse dimenticate.
Tipi di file rilevati
File di backup
Copie di sicurezza (.zip, .bak, .sql) lasciate nella root web.
Controllo versioni
Esposizione di cartelle .git o .svn che permettono di scaricare il codice.
Configurazione
File contenenti password e chiavi API (.env, web.config, wp-config.php.bak).
Log ed errori
File di log (error.log) che rivelano percorsi e dettagli del sistema.
File temporanei
File creati da editor di testo (es. .swp, ~) durante la modifica.
Directory Listing
Verifica se il server permette di elencare il contenuto delle cartelle.
Rischi principali
Un singolo file dimenticato (come un backup del database `dump.sql`) può compromettere l'intera sicurezza del sito, regalando agli attaccanti tutti i dati degli utenti senza bisogno di sfruttare alcuna vulnerabilità complessa.
Impatto critico
- Furto totale del database (passwords, email, dati personali)
- Accesso a credenziali di amministrazione (DB, API Keys, AWS)
- Furto di Proprietà Intellettuale (codice sorgente)
- Compromissione totale del server
Normativa
L'esposizione di dati personali tramite backup non protetti costituisce una violazione della riservatezza ai sensi del GDPR (Art. 32), sanzionabile anche in assenza di un attacco effettivo.