ZenovayTools

Offengelegte-Dateien-Prüfer

Prüft 25+ sensible Dateipfade: .env, .git/config, wp-config.php, phpinfo.php, .htpasswd, adminer.php, backup.sql, .ssh/id_rsa, composer.json und mehr. Schweregrad kritisch/hoch/mittel/niedrig. Bewertung A–F.

So verwenden Sie Offengelegte-Dateien-Prüfer

  1. 1Geben Sie die URL Ihrer Website ein, um nach offengelegten sensiblen Dateien zu scannen.
  2. 2Das Tool prüft 25+ häufige sensible Dateipfade: .env, .git, wp-config.php, phpinfo.php, adminer, Backups und mehr.
  3. 3Dateien, die 200 OK zurückgeben, sind mit Schweregrad-Bewertungen gekennzeichnet.
  4. 4Dateien mit kritischem und hohem Schweregrad erfordern sofortige Behebung, um Datenverletzungen zu vermeiden.
ZenovayAnalytics

Analytics ganz ohne Cookie-Banner.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Auf welche sensiblen Dateien prüft dieses Tool?
.env-Dateien (kritisch - Datenbankpasswörter, API-Schlüssel, Secret-Tokens), .git/config (kritisch - Repository-URL, Remote-Origins), wp-config.php (kritisch - WordPress-Datenbankzugangsdaten), .htpasswd (hoch - gehashte Zugangsdaten), phpinfo.php (hoch - PHP/Server-Konfiguration), adminer.php (hoch - direkter Datenbankzugriff), phpmyadmin/ (hoch - Datenbankverwaltung), composer.json/lock (mittel - Abhängigkeitsversionen), package.json (niedrig - Node.js-Abhängigkeiten), .DS_Store (niedrig - macOS-Metadaten), backup.sql/backup.zip (kritisch - Datenbank/Website-Backups), .ssh/id_rsa (kritisch - private SSH-Schlüssel), server-status/server-info (mittel - Apache-Diagnoseseiten).
Meine .env-Datei ist exponiert - was soll ich sofort tun?
Sofortmaßnahmen: (1) Nehmen Sie den betroffenen Dienst offline oder blockieren Sie den Zugriff. (2) Gehen Sie davon aus, dass alle Secrets in .env kompromittiert sind - rotieren Sie ALLE API-Schlüssel, Datenbankpasswörter und Tokens sofort. (3) Prüfen Sie Ihre Zugriffsprotokolle der letzten 30 Tage, ob .env schon vorher abgerufen wurde. (4) Beheben Sie die Ursache: Verschieben Sie .env über das Webroot, fuegen Sie deny from all in .htaccess hinzu oder konfigurieren Sie nginx, um Dotfiles zu blockieren. (5) Prüfen Sie alle betroffenen API-Schlüssel auf unautorisierten Zugriff. (6) Erwägen Sie DSGVO-Meldung innerhalb von 72 Stunden, wenn Nutzerdaten betroffen sind.
Warum ist die Exposition eines .git-Verzeichnisses gefaehrlich?
Ein exponiertes .git-Verzeichnis ermöglicht es Angreifern, Ihren gesamten Quellcode einschliesslich historischer Versionen zu rekonstruieren. Aus .git/config kann ein Angreifer Ihre Repository-URL einsehen. Mit Tools wie git-dumper können sie das gesamte Repository herunterladen, einschliesslich aller Quellcodes, der Commit-Historie, entfernter Dateien, hartcodierter Secrets in historischen Commits und der Infrastrukturkonfiguration. Beheben Sie es in nginx mit: location ~ /\.git { deny all; } oder in Apache mit: RedirectMatch 404 /\.git
Wie blockiere ich diese Dateien in nginx und Apache?
Nginx - im server block hinzufügen: location ~ /\.(env|git|htaccess|htpasswd|DS_Store) { deny all; return 404; } Apache - in .htaccess oder httpd.conf hinzufügen: FilesMatch für ^\.(env|git|htaccess|htpasswd|DS_Store) mit Deny from all. PHP-Dateien wie phpinfo.php: einfach vom Server löschen - sie sollten niemals in der Produktion sein.
Ist die Verwendung dieses Tools auf meiner eigenen Website sicher?
Ja - dieses Tool stellt nur Standard-HTTP-GET-Anfragen an bestimmte Pfade auf Ihrer Website, dieselben Anfragen, die ein Browser oder Suchmaschinen-Bot stellen wuerde. Es prüft dieselben Pfade, die Sicherheitsforscher, Penetrationstester und Angreifer routinemaessig scannen. Das Tool versucht nicht, Schwachstellen auszunutzen - es prüft nur, ob Dateien zugänglich sind. Nutzen Sie es, um Expositionen zu finden, bevor Angreifer es tun.