%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guida alle vulnerabilità di sicurezza
Comprendere e correggere le vulnerabilità di sicurezza web comuni rilevate da VitaPulse
Header di sicurezza HTTP
Gli header di sicurezza istruiscono i browser ad abilitare meccanismi di sicurezza integrati, proteggendo i tuoi utenti dagli attacchi più comuni.
Alta
Strict-Transport-Security (HSTS)
Obbliga i browser a connettersi al tuo sito esclusivamente tramite HTTPS, prevenendo attacchi di downgrade del protocollo e dirottamento dei cookie.
Alta
Content-Security-Policy (CSP)
Definisce quali risorse (script, stili, immagini) possono essere caricate sulla tua pagina, prevenendo attacchi di iniezione di contenuti.
Alta
X-XSS-Protection
Abilita il filtro XSS integrato nel browser per bloccare gli attacchi cross-site scripting riflessi.
Media
X-Content-Type-Options
Impedisce ai browser di indovinare il tipo di contenuto dei file, bloccando gli attacchi di MIME sniffing.
Media
X-Frame-Options
Controlla se la tua pagina può essere incorporata in iframe su altri siti, prevenendo attacchi di clickjacking.
Bassa
Referrer-Policy
Controlla quante informazioni di referrer vengono incluse nelle richieste, proteggendo la privacy degli utenti e le strutture URL sensibili.
Bassa
Permissions-Policy
Controlla quali funzionalità del browser e API possono essere utilizzate sulla tua pagina, limitando l'accesso a sensori, fotocamera, microfono e altro.
Bassa
Cross-Origin-Opener-Policy (COOP)
Isola la tua pagina dalle finestre cross-origin, prevenendo attacchi tramite riferimenti window.opener.
Bassa
Cross-Origin-Resource-Policy (CORP)
Impedisce ad altri siti web di caricare le tue risorse, proteggendo contro perdite di dati cross-origin.
Bassa
Cross-Origin-Embedder-Policy (COEP)
Richiede che tutte le risorse cross-origin optino esplicitamente per l'inclusione, abilitando l'isolamento cross-origin e proteggendo contro gli attacchi Spectre.
Certificato TLS e crittografia
TLS (Transport Layer Security) crittografa tutte le comunicazioni tra il browser dell'utente e il tuo server, proteggendo i dati in transito.
Alta
Certificato scaduto
Il certificato TLS del tuo sito è scaduto, causando avvertimenti del browser che bloccano i visitatori dall'accesso al tuo sito.
Media
Certificato in scadenza
Il certificato TLS del tuo sito scadrà entro 30 giorni. Il rinnovo proattivo evita tempi di inattività.
Alta
Versione TLS obsoleta
Il tuo sito utilizza una versione obsoleta di TLS (1.0 o 1.1) che presenta vulnerabilità di sicurezza note.
Media
Suite di cifratura debole
Il tuo server utilizza suite di cifratura deboli o deprecate che possono essere compromesse.
Bassa
Nessuna Certificate Transparency
Il tuo certificato TLS non è registrato nei log di Certificate Transparency (CT).
Audit di sicurezza Lighthouse
Audit di sicurezza eseguiti automaticamente durante ogni scansione Lighthouse.
Alta
Il sito non utilizza HTTPS
Il tuo sito è accessibile tramite HTTP non crittografato, esponendo tutto il traffico alla sorveglianza e alla manomissione.
Alta
Reindirizza il traffico HTTP verso HTTPS
Il tuo sito non reindirizza automaticamente le richieste HTTP verso HTTPS.
Media
Richiede geolocalizzazione al caricamento
Il tuo sito richiede il permesso di geolocalizzazione immediatamente al caricamento della pagina, senza interazione dell'utente.
Media
Richiede notifiche al caricamento
Il tuo sito richiede il permesso per le notifiche push immediatamente al caricamento della pagina.
Alta
CSP non previene gli attacchi XSS
La tua Content Security Policy non blocca efficacemente gli attacchi cross-site scripting.
Alta
HSTS mancante
Il tuo sito non include l'header HTTP Strict Transport Security, lasciando gli utenti vulnerabili ai downgrade del protocollo.
Media
Protezione contro il clickjacking mancante
Il tuo sito non ha né X-Frame-Options né la direttiva CSP frame-ancestors, rendendolo vulnerabile agli attacchi di clickjacking.
Versioni software esposte
Le versioni software rilevabili pubblicamente forniscono agli attaccanti informazioni preziose su potenziali vulnerabilità.
Media
Versione server web esposta
Il tuo server web rivela il proprio nome e versione negli header di risposta (ad es. Apache/2.4.51, nginx/1.22.0).
Media
Runtime/Framework esposto
Il runtime o framework della tua applicazione è rivelato tramite header (X-Powered-By) o marcatori HTML.
Bassa
CMS rilevato
Il tuo sistema di gestione dei contenuti (WordPress, Drupal, Joomla, ecc.) è rilevabile tramite marcatori HTML o percorsi noti.
Alta
Libreria JavaScript con vulnerabilità note
Il tuo sito utilizza una libreria JavaScript con vulnerabilità di sicurezza note.