Vérificateur de fichiers exposés
Vérifie 25+ chemins de fichiers sensibles : .env, .git/config, wp-config.php, phpinfo.php, .htpasswd, adminer.php, backup.sql, .ssh/id_rsa, composer.json, et plus. Gravité critique/haute/moyenne/basse. Note A-F.
Comment utiliser Vérificateur de fichiers exposés
- 1Entrez l'URL de votre site web pour analyser les fichiers sensibles exposés.
- 2L'outil vérifie 25+ chemins de fichiers sensibles courants : .env, .git, wp-config.php, phpinfo.php, adminer, sauvegardes, et plus.
- 3Les fichiers retournant 200 OK sont marqués avec des niveaux de gravité.
- 4Les fichiers critiques et hautement graves nécessitent une correction immédiate pour prévenir les violations de données.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Quels fichiers sensibles cet outil recherche-t-il ?▾
Fichiers .env (critique — mots de passe de base de données, clés API, jetons secrets), .git/config (critique — URL du dépôt), wp-config.php (critique — identifiants de base de données WordPress), .htpasswd (élevé — identifiants hachés), phpinfo.php (élevé — configuration PHP/serveur), adminer.php (élevé — accès direct à la base de données), phpmyadmin/ (élevé — gestion de base de données), composer.json/lock (moyen — versions des dépendances), .DS_Store (faible — métadonnées macOS), backup.sql/backup.zip (critique — sauvegardes), .ssh/id_rsa (critique — clés SSH privées).
Mon fichier .env est exposé — que faire immédiatement ?▾
Étapes immédiates : (1) Mettez le service affecté hors ligne ou bloquez l'accès pendant la correction. (2) Supposez que tous les secrets dans .env sont compromis — faites pivoter TOUTES les clés API, mots de passe de base de données et jetons immédiatement. (3) Vérifiez vos journaux d'accès des 30 derniers jours. (4) Corrigez la cause racine : déplacez .env au-dessus de la racine web, ajoutez « deny from all » dans .htaccess. (5) Envisagez de notifier les utilisateurs affectés (notification de violation RGPD dans les 72 heures).
Pourquoi l'exposition du répertoire .git est-elle dangereuse ?▾
Un répertoire .git exposé permet aux attaquants de reconstruire tout votre code source, y compris les versions historiques. En utilisant des outils comme git-dumper, ils peuvent télécharger le dépôt complet incluant tout le code source, l'historique des commits, les fichiers supprimés et les secrets codés en dur. Bloquez l'accès .git dans la configuration de votre serveur.
Comment bloquer ces fichiers dans nginx et Apache ?▾
Nginx — ajoutez dans le bloc server : location ~ /\.(env|git|htaccess|htpasswd|DS_Store) { deny all; return 404; } Apache — ajoutez dans .htaccess : <FilesMatch "^\.(env|git|htaccess|htpasswd|DS_Store)"> Order deny,allow / Deny from all / </FilesMatch>. Pour les fichiers PHP comme phpinfo.php : supprimez-les simplement du serveur — ils ne devraient jamais être en production.
Est-il sûr d'utiliser cet outil sur mon propre site web ?▾
Oui — cet outil n'effectue que des requêtes HTTP GET standard vers des chemins spécifiques de votre site web, le même type de requêtes que n'importe quel navigateur ou robot de moteur de recherche ferait. L'outil ne tente pas d'exploiter des vulnérabilités — il vérifie uniquement si les fichiers sont accessibles.