Scanner di Sicurezza Web Gratuito di Get-Tools
Vi siete mai chiesti quanto sia realmente sicuro il vostro sito web contro le minacce informatiche? Lo scanner di sicurezza web di Get-Tools e uno strumento di analisi completo che esamina il vostro sito da molteplici angolazioni di sicurezza e identifica vulnerabilita e potenziali problemi in pochi secondi. Questo strumento e completamente gratuito, non richiede registrazione ne abbonamento e funziona con qualsiasi sito web accessibile pubblicamente. Che siate proprietari di un sito, sviluppatori web o professionisti della sicurezza informatica, questo scanner vi fornisce tutto il necessario per valutare rapidamente e in modo affidabile la postura di sicurezza di qualsiasi sito.
Cosa controlla lo scanner?
Header di sicurezza
Lo scanner verifica la presenza degli header di sicurezza HTTP essenziali che costituiscono la prima linea di difesa di qualsiasi sito web. Questi includono Content-Security-Policy (CSP) che previene gli attacchi cross-site scripting (XSS) e l'iniezione di codice malevolo, Strict-Transport-Security (HSTS) che obbliga i browser a utilizzare esclusivamente connessioni HTTPS crittografate, X-Frame-Options che protegge dagli attacchi di clickjacking impedendo l'incorporamento del sito in frame esterni, e X-Content-Type-Options che impedisce ai browser di interpretare erroneamente il tipo di contenuto. Lo scanner verifica anche Referrer-Policy e Permissions-Policy che gestiscono rispettivamente le informazioni di provenienza e i permessi del browser come fotocamera, microfono e geolocalizzazione.
Certificato SSL/HTTPS
Lo scanner verifica se il sito utilizza il protocollo HTTPS crittografato che protegge i dati scambiati tra l'utente e il server. Convalida il certificato SSL, la sua data di scadenza, l'autorita emittente e il numero di giorni rimanenti prima della scadenza. I siti senza HTTPS espongono i dati degli utenti -- comprese password e informazioni sulle carte di credito -- al rischio di intercettazione e furto. Inoltre, i motori di ricerca come Google danno la preferenza nel ranking ai siti con certificati HTTPS validi, rendendo questo aspetto cruciale sia per la sicurezza che per le prestazioni SEO.
File esposti
Lo scanner cerca file sensibili che potrebbero essere accidentalmente esposti sul server. Questi includono file di ambiente (.env) che spesso contengono password e chiavi API, directory Git esposte (.git) che possono rivelare l'intero codice sorgente, pagine di gestione dei database come phpMyAdmin accessibili senza autenticazione, file di backup (.sql, .zip, .tar.gz) e altri file di configurazione sensibili. La fuga di uno qualsiasi di questi file potrebbe dare agli aggressori accesso completo al sistema.
Rilevamento delle tecnologie
Lo scanner identifica le tecnologie e i framework utilizzati per costruire il sito analizzando gli header HTTP e il contenuto della pagina. Rileva server web come Apache e Nginx, linguaggi di programmazione come PHP e sistemi di gestione dei contenuti come WordPress. Esporre versioni specifiche del software puo aiutare gli aggressori a prendere di mira vulnerabilita note di quelle versioni, motivo per cui si raccomanda sempre di nascondere le informazioni sulle versioni dagli header di risposta.
Sicurezza dei cookie
Lo scanner esamina le impostazioni di sicurezza dei cookie inviati dal sito. Controlla il flag Secure che garantisce che i cookie vengano inviati solo tramite HTTPS; il flag HttpOnly che impedisce a JavaScript di accedere ai cookie e protegge dal dirottamento di sessione; e l'attributo SameSite che limita la trasmissione di cookie tra siti e protegge dagli attacchi CSRF.
Sistema di valutazione
Lo scanner assegna un punteggio da 0 a 100 e un voto da A a F basato sui risultati completi della scansione. Il voto A (90 o superiore) significa che il sito segue le migliori pratiche di sicurezza riconosciute. Il voto B indica che sono necessari miglioramenti minori. Il voto C segnala che sono necessari miglioramenti importanti. Il voto D rivela vulnerabilita che devono essere corrette. Il voto F indica gravi problemi di sicurezza che richiedono un intervento immediato.
Casi d'uso pratici
Per proprietari di siti e aziende
Scansionate regolarmente il vostro sito per scoprire nuove vulnerabilita e assicurarvi che le migliori pratiche siano applicate. La scansione periodica aiuta a mantenere la fiducia dei clienti e a proteggere i dati personali, e puo soddisfare i requisiti di conformita per le normative sulla protezione dei dati come il GDPR.
Per sviluppatori e amministratori di sistema
Verificate le configurazioni di sicurezza dopo ogni distribuzione o aggiornamento del server. Confermate che nessun file sensibile sia trapelato durante il processo di distribuzione. Questo strumento si integra naturalmente nella vostra checklist di distribuzione in produzione.
Per professionisti della sicurezza informatica
Effettuate una rapida valutazione iniziale della sicurezza come primo passo di una valutazione completa. Ottenete una panoramica rapida della postura di sicurezza prima di procedere con test di penetrazione e valutazioni di vulnerabilita approfondite.
Privacy e sicurezza
Lo scanner esamina esclusivamente informazioni disponibili pubblicamente su Internet e non tenta mai di violare o sfruttare alcuna vulnerabilita scoperta. I risultati della scansione non vengono memorizzati nei nostri database e non vengono mai condivisi con terze parti. La scansione e completamente sicura e non ha alcun impatto sulle prestazioni o sulla disponibilita del sito scansionato. Tutte le richieste inviate sono richieste di lettura standard, identiche a quelle inviate da qualsiasi browser durante la visita del sito.
Domande frequenti
La scansione danneggia il sito web?
Assolutamente no. La scansione legge solo informazioni disponibili pubblicamente e non invia dati dannosi ne tenta di sfruttare alcuna vulnerabilita. Si tratta essenzialmente di una visita normale al sito con ispezione delle risposte del server.
Posso scansionare qualsiasi sito?
Si, potete scansionare qualsiasi sito disponibile su Internet. La scansione utilizza solo informazioni pubbliche accessibili a chiunque tramite un browser web standard.
I risultati sono accurati al 100%?
La scansione copre i controlli di sicurezza fondamentali piu importanti e fornisce un quadro chiaro della postura di sicurezza complessiva, ma non sostituisce un audit di sicurezza completo e specializzato condotto da un esperto di sicurezza informatica.
Con quale frequenza dovrei scansionare il mio sito?
Si consiglia di scansionare il sito almeno una volta al mese e dopo ogni aggiornamento importante, modifica della configurazione del server o nuova distribuzione.