MoreOnlineTools
ESC

Kit di Audit di Sicurezza

Un workflow in 7 passi per rafforzare la sicurezza della tua applicazione

Kit di Audit di Sicurezza

Questo workflow è pensato per sviluppatori e amministratori di sistema che vogliono verificare e migliorare la sicurezza di un'applicazione web o di un ambiente server. Segui i passi nell'ordine indicato per coprire l'igiene delle credenziali, la protezione dei dati e le intestazioni di sicurezza HTTP. Al termine avrai affrontato i vettori di attacco più comuni: password deboli, archiviazione in chiaro, dati non cifrati e policy del browser mal configurate.

7 passi ~20 min 7 strumenti
01

Genera Credenziali Forti

Le password deboli sono la causa principale delle violazioni della sicurezza. Genera password crittograficamente casuali per tutti gli account di servizio, le chiavi API e le credenziali di amministratore.

Generatore di Password
Genera una password crittograficamente casuale di almeno 16 caratteri con maiuscole, minuscole, numeri e simboli.
Apri Strumento
02

Testa le Password Esistenti

Prima di fidarti di una password esistente, valutala in base ai calcoli di entropia e al rilevamento di pattern comuni. Qualsiasi valore inferiore a 70 bit di entropia dovrebbe essere sostituito.

Verificatore di Forza Password
Incolla ogni password esistente qui per misurarne il punteggio di entropia e rilevare pattern prevedibili o parole del dizionario.
Apri Strumento
03

Applica Hash alle Password per l'Archiviazione

Non archiviare mai le password in chiaro. Bcrypt aggiunge automaticamente un salt ed è deliberatamente lento — ogni hash richiede millisecondi per te, ma rende gli attacchi brute-force proibitivamente costosi.

Generatore Bcrypt
Inserisci una password e genera un hash bcrypt con un fattore di costo appropriato (consigliato 12) da archiviare nel tuo database.
Apri Strumento
04

Applica Hash ai Dati per l'Integrità

Verifica l'integrità dei file, crea checksum per i deployment o genera identificatori deterministici. SHA-256 è lo standard per i checksum nei contesti di sicurezza.

Generatore SHA-256
Applica hash ad artefatti di deployment, file di configurazione o qualsiasi dato per creare un checksum che potrai verificare dopo il trasferimento o l'archiviazione.
Apri Strumento
05

Cifra i Dati Sensibili

Per i dati che devono essere recuperati in seguito (a differenza degli hash), AES-256 è lo standard del settore. Usalo per cifrare token, valori di configurazione o qualsiasi dato archiviato al di fuori della tua applicazione.

Cifratura AES
Cifra token API, chiavi segrete o valori di configurazione usando AES-256 in modo che possano essere archiviati o trasmessi in sicurezza.
Apri Strumento
06

Scrivi la Content Security Policy

Le intestazioni CSP prevengono gli attacchi XSS controllando le risorse che i browser possono caricare. Una CSP ben configurata è una delle difese più efficaci contro l'iniezione di script.

Generatore CSP
Costruisci un'intestazione Content-Security-Policy selezionando le sorgenti che la tua applicazione usa effettivamente, poi copia il valore nella configurazione del server.
Apri Strumento
07

Configura le Intestazioni CORS

Un CORS mal configurato è una vulnerabilità API comune. Genera intestazioni precise che consentano solo le origini previste — un carattere jolly (*) su un endpoint con credenziali è una falla di sicurezza critica.

Generatore di Intestazioni CORS
Specifica le origini, i metodi e le intestazioni consentite per generare i valori esatti di Access-Control-* di cui la tua API ha bisogno.
Apri Strumento

Consigli degli Esperti

  • Ruota le credenziali dopo ogni audit. Anche una password forte diventa un rischio se è in uso da un anno o più senza rotazione.
  • Usa un fattore di costo di 12 o superiore per bcrypt in produzione. Su hardware moderno, un costo di 10 può essere violato più velocemente del previsto man mano che la potenza di calcolo cresce.
  • Testa la tua CSP prima in modalità solo-report (Content-Security-Policy-Report-Only) prima di applicarla — una policy mal configurata può bloccare l'intera applicazione.

Domande Frequenti

L'hashing è un processo unidirezionale: non puoi invertire un hash per ottenere i dati originali. Viene usato per verificare l'integrità o archiviare le password. La cifratura è bidirezionale: i dati possono essere decifrati con la chiave corretta. Usa l'hashing per password e checksum; usa la cifratura per i dati che devi recuperare in seguito.

Almeno 16 caratteri per le password digitate manualmente, e 32 o più caratteri per le credenziali generate da macchine come le chiavi API. La lunghezza contribuisce all'entropia più della varietà dei caratteri da sola — una stringa di 20 caratteri minuscoli è più forte di una stringa mista di 10 caratteri.

Bcrypt è molto meglio per l'archiviazione delle password. SHA-256 è progettato per essere veloce, il che rende facile il brute-force. Bcrypt è intenzionalmente lento e include un salt integrato, il che lo rende la scelta giusta per archiviare le password degli utenti. SHA-256 è appropriato per checksum e integrità dei dati, non per l'archiviazione delle credenziali.

No, CSP riduce significativamente il rischio e l'impatto di XSS, ma non lo elimina completamente. Una CSP scritta male con regole troppo ampie (come unsafe-inline) offre poca protezione. CSP funziona meglio come uno strato all'interno di un approccio di difesa in profondità, insieme alla validazione degli input e alla codifica degli output.

No. Ogni strumento di questo sito funziona interamente nel tuo browser. Le tue password, chiavi e dati non lasciano mai il tuo dispositivo — nulla viene inviato a nessun server. Puoi verificarlo disconnettendoti da Internet e usando gli strumenti; continueranno a funzionare.

Sicurezza e Privacy

La sicurezza dei vostri dati è la nostra priorità

Elaborazione Locale

Tutta l'elaborazione avviene nel vostro browser

Nessun Trasferimento Dati

I vostri dati non vengono inviati ai nostri server

Nessun Archiviazione Dati

Nessun dato viene memorizzato o condiviso

Crittografia SSL

Crittografia SSL per connessione sicura