Zum Inhalt springen
Tools

Exposed Files Scanner

Prueft ob sensible Dateien oeffentlich erreichbar sind (.env, .git, wp-config, SQL-Dumps, etc.)

Was wird geprueft?

Es werden ca. 30 bekannte sensible Pfade per HTTP GET abgefragt. Bei Status 200 wird der Inhalt validiert, um Custom-404-Seiten auszuschliessen. Dateien wie .env, .git/HEAD oder SQL-Dumps werden nur als exponiert gemeldet, wenn der Inhalt die erwarteten Muster enthaelt.

Methodik & Funktionsweise

Was wird geprueft?

Prüft ob sensible Dateien (.env, .git, wp-config.php, SQL-Dumps, docker-compose.yml etc.) öffentlich erreichbar sind.

Wie funktioniert es?

Ca. 30 bekannte sensible Pfade werden per HTTP GET abgefragt. Bei Status 200 wird der Inhalt mit dateitypspezifischen Validatoren geprüft (z.B. ".env" muss "=" enthalten, ".git/HEAD" muss "ref:" enthalten), um Custom-404-Seiten auszuschließen. Die Prüfung läuft in Batches von 10 parallelen Requests mit je 5 Sekunden Timeout.

Beispiel-Ergebnis

example.com → .env: exponiert (kritisch), .git/HEAD: nicht erreichbar, wp-config.php: nicht erreichbar, .well-known/security.txt: vorhanden (info)

Hinweise

security.txt (.well-known/security.txt) wird als positive Sicherheitspraxis gemeldet, nicht als Schwachstelle. Inhalt wird nur teilweise gelesen (max. 4 KB) und sensible Werte werden im Snippet maskiert.

Was prüft der Exposed Files Scanner?

Der Exposed Files Scanner prüft, ob sensible Dateien wie .env, .git/HEAD, wp-config.php, SQL-Dumps oder docker-compose.yml öffentlich erreichbar sind. Exponierte Konfigurationsdateien enthalten oft Datenbank-Passwörter, API-Keys und andere Zugangsdaten, die Angreifer für einen Zugriff auf das System nutzen können. Das Tool prüft ca. 30 bekannte sensible Pfade und validiert die Antworten, um Custom-404-Seiten auszuschließen.

Sensible Dateien schützen

  • 1Konfigurieren Sie den Webserver, um den Zugriff auf .env, .git und Backup-Dateien zu blockieren.
  • 2Legen Sie keine Konfigurationsdateien im Web-Root-Verzeichnis ab.
  • 3Erstellen Sie eine .well-known/security.txt für verantwortungsvolle Sicherheitsmeldungen.
  • 4Prüfen Sie nach jedem Deployment, ob keine sensiblen Dateien exponiert sind.