Содержание

21 сервис быстрой проверки безопасности сайта

Сравнительный анализ сервисов оценки безопасности веб-сайтов

Как быстро понять, насколько уязвим ваш веб-сайт? Легко ли его взломать? А может, он уже взломан?

В общем случае, точные и полные ответы на эти вопросы даются непросто. Вам нужен пентест, который займёт не менее 1 недели и 1500 долларов. Либо расследование инцидента, если он уже очевиден. Например, произошёл дефейс или блокирование сайта, утечка информации и т.д.

А что если нужно заранее понять, насколько всё может быть плохо, но при этом не потратить много сил и времени? Например, для того, чтобы просто получить “пёрышко на чаше весов”, которое нарушит равновесие и ликвидирует последние сомнения о необходимости отложить публикацию сайта и поработать ещё пару недель над его безопасностью. Или чтобы попытаться самостоятельно найти крупную дыру, через которую уже произошёл взлом опубликованного сайта.

Самый быстрый и простой способ – просканировать сайт на уязвимости и другие проблемы безопасности. Для этого нужно воспользоваться сервисами, которые мы описали в нашем обзоре онлайн-инструментов анализа безопасности сайтов.

Введение

Целью данного обзора не является определение самых функциональных и точных сканеров, предоставляющих максимум информации, а определение сканеров, оптимальных для быстрых задач оценки безопасности неспециалистами по безопасности.

Поэтому в ходе обзора мы оценивали следующий набор параметров: возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и количество бесплатного функционала.

Обзор мы разделили на три части (“весовые категории” или “лиги”):

  • 16 универсальных сканеров безопасности веб-сайтов.
  • 4 узкоспециализированных сканера безопасности веб-сайтов на платформе CMS WordPress. Эта платформа была наиболее популярной платформой построения веб-сайтов на протяжении последних 10 лет, и остаётся наиболее востребованной в 2021 году.
  • 1 полезный сервис оценки безопасности, включённый в бонусную категорию.

Сервисы оценки безопасности мы упорядочили по их названиям в алфавитном порядке.


Универсальные сканеры безопасности веб-сайтов

1. Acunetix

Классический коммерческий сканер уязвимостей веб-сайтов. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик. Процесс получения временной бесплатной версии сложен. Бесплатное использование на протяжении 14 дней. Сервис даёт полезные результаты.

2. Detectify

Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, и работает бесплатно только 14 дней. Сканер достаточно сложен в использовании, хотя в сегменте коммерческих сканеров встречаются и более сложные продукты. Цены Detectify практически не отстают от уровня мировых лидеров рынка. Сканирование работает медленно, несколько часов, и даёт приличное количество результатов.

3. H-X Scanner

Бесплатный онлайн-сканер уязвимостей. Работает с 2016 года и имеет два режима: быстрый и нормальный. Сервис достаточно прост в использовании и не требует регистрации. Нужно ввести адрес вашего сайта и адрес электронной почты для получения отчёта о безопасности. В быстром режиме первые результаты можно получить в реальном времени в течение нескольких секунд после запуска. Весь процесс сканирования в быстром режиме занимает 5 минут. В нормальном режиме не нужно держать сайт сканера открытым. Отчёты о сканировании приходят на емайл. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объёма сайта. В нормальном режиме отчёт весьма удобный. Он содержит резюме и подробности в табличном виде. Предусмотрен функционал ручной верификации уязвимостей. Общий вывод – очень удобный сервис с относительно подробными отчётами, пригодными для глубокого ручного анализа и обработки.

4. ImmuniWeb

Компания ImmuniWeb активно развивается на рынке профессиональных решений по информационной безопасности. Веб-сайт этой компании и её бесплатный сервис оценки безопасности веб-сайтов имеют простой, удобный и весьма продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Сервис работает не очень быстро, но предоставляет очень удобные и наглядные результаты.

5. Intruder

Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней. Работает довольно медленно и предоставляет не много результатов.

6. Netsparker Cloud

Один из классических коммерческих сканеров. Конкурент Acunetix, что особенно заметно в процессе получения пробной бесплатной версии, которая действует также только 14 дней. Требует непростую корпоративную регистрацию. Сервис предоставляет относительно много результатов, и даёт ложные срабатывания.

7. Norton Safe Web

Сервис от знаменитого антивируса лишний раз доказывает, что антивирусные компании сравнительно плохо справляются с оценкой безопасности веб-сайтов. Несмотря на то, что сканер бесплатный и легко запускается, он не даёт никаких результатов, если только ваш сайт уже не находится в базе данных сервиса. Попадание сайта в эту базу данных – непростая задача.

8. Observatory

Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов выяснить состояние их безопасности. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т. д. Функционал несколько ограничен, но инструмент, несомненно, достойный.

9. Pentest-Tools

Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет сильно ограниченные результаты. Сайт рекламирует платные проверки с богатым функционалом.

10. Probely

Этот платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования 14 дней. Регистрация и использование не сложные. Сервис Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, но в бесплатном режиме выдаёт весьма ограниченное количество результатов.

11. Quttera

Этот бесплатный инструмент в некоторой мере аналогичен сканеру Sucuri, описанному ниже, и даёт немного больше результатов. Он работает немного дольше, хотя в целом довольно быстро – несколько десятков секунд. Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, на наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и в списках вредоносных программ. Практически все сканеры уязвимостей время от времени дают ложные срабатывания, заявляя о проблемах безопасности там, где их реально нет. Но Quterra делает это весьма безапелляционно и навязчиво, сразу же предлагая купить их услуги по устранению проблем. Например, этот сервис ругается на несуществующую угрозу “Malicious obfuscated JavaScript threat”. Такое поведение подрывает доверие к этому инструменту.

12. Sucuri SiteCheck

Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал – проверяет присутствие сайта в списках безопасного просмотра (Google, Yandex и т. д.) и в чёрных списках, проверяет наличие файрвола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков. Сканер ошибается с определением CMS, а также оценивает безопасность таких сайтов как, например, facebook.com или microsoft.com, на уровне medium risk. Это является заведомо недостоверным завышенным значением риска. В целом, сервис работает очень быстро, несколько секунд, но и информации даёт очень мало.

13. SiteGuarding

Сервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т. д. Сканер декларирует, что распознаёт WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы. Запускается умеренно сложно, регистрации не требует. Работает недолго, но результаты очень ограничены. Сложная навигация, сложный интерфейс, навязчивая реклама.

14. Tinfoil Security

Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.

15. UpGuard Scan

Этот платный инструмент выполняет оценку рисков. Он использует информацию о различных параметрах сайта. Процесс регистрации сложный. Пробная бесплатная версия действительна 7 дней.

16. VirusTotal

Знаменитый агрегатор антивирусов, который был приобретён компанией Google, имеет также функцию агрегации чёрных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдаёт результаты. Однако, по определению, полнота такой проверки ограничена, поскольку сервис не проверяет уязвимости сайта. Соответственно, сервис не даёт гарантий безопасности сайта.


Сканеры безопасности сайтов на базе WordPress

17. IsItWP Security Scanner

Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) низкая скорость работы, 2) функционал сканера ограничен только некоторыми проверками (в основном, на известное вредоносное ПО). Сайт поставщика рекламирует дополнительные сервисы по защите сайтов WordPress и описывает шаги по реагированию на инциденты безопасности. В целом, сервис оставляет впечатление сырого, и шансов получить от него полезную информацию мало.

18. Web Inspector

Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы. Регистрация, сравнительно с другими сервисами, не просто сложная, а очень сложная, так как требуется введение данных платёжной карты.

19. Wprecon

Сканер Wprecon для сайтов WordPress бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.

20. WPsec

Сканер сайтов на WordPress с ограниченной бесплатной версией. Он настойчиво рекомендует купить премиальную учётную запись. Сервис требует регистрацию и прост в использовании, но есть неудобства вроде операций с паролем входа в сервис. WPsec использует распространённый бесплатный движок WPscan. Этот движок является сканером уязвимостей, работающим в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности. Также этот движок известен тем, что он даёт большое количество ложных срабатываний. Сервис WPsec, несмотря на красивый интерфейс, медленный и в целом разочаровывает.


Бонус

21. Google Safe Browsing

Собственно, данный сервис не является сканером, а просто интерфейсом к “чёрному списку” Google. То есть, к базе данных, содержащей списки вредоносных сайтов. Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. По какой-либо причине вам может оказаться нужно обратиться к оригинальному сервису и не использовать сервисы посредников. Сервис интегрирован с Google Search Console, что достаточно удобно. Если вдруг ваш сайт окажется в чёрном списке, вы получите подробные инструкции о том, как удалить сайт оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр. Однако, поскольку не проверяет сайты на уязвимости, то малофункционален по сравнению с другими сервисами в нашем обзоре.


Сравнительный анализ

Напомним, что нашей целью было выявление быстрых, удобных, бесплатных онлайн-инструментов для анализа безопасности веб-сайтов. Сервисы со сложной регистрацией, сложным интерфейсом, медленные, дающие ограниченные результаты и тому подобные сканеры теряли очки при подсчёте.

В таблице результатов 0 баллов означает “нет или почти нет”, 1 – “частично”, 2 – “да, полностью или почти полностью”. Чтобы получить итоговую оценку, мы просуммировали первые 4 параметра оценки, затем результат умножили на оценку количества бесплатного функционала.

В лиге универсальных сканеров наш рейтинг выглядит следующим образом:

Сканервоз­мож­ность бес­плат­но­го ис­поль­зо­ва­нияпрос­то­та ис­поль­зо­ва­нияот­сут­ствие ре­гис­тра­цииско­рость на­хож­де­ния проб­лемко­ли­чес­тво бес­плат­но­го фун­кци­о­на­лаИто­го­вая оцен­ка
H-X Scanner2221214
ImmuniWeb2221214
Norton Safe Web222218
Observatory222218
Sucuri SiteCheck222218
VirusTotal222218
Quttera122217
Acunetix100226
SiteGuarding112216
Pentest-Tools111215
Probely120215
Netsparker Cloud110214
Tinfoil Seurity110113
Detectify100022
Intruder100112
UpGuard Scan100112

Таким образом, для быстрых задач оценки безопасности веб-сайтов мы рекомендуем пользоваться инструментами H-X Scanner и ImmuniWeb, которые обогнали конкурентов по рассматриваемому набору параметров.

В лиге сканеров безопасности WordPress рейтинг получился такой:

Сканервоз­мож­ность бес­плат­но­го ис­поль­зо­ва­нияпрос­то­та ис­поль­зо­ва­нияот­сут­ствие ре­гис­тра­цииско­рость на­хож­де­ния проб­лемко­ли­чес­тво бес­плат­но­го фун­кци­о­на­лаИто­го­вая оцен­ка
Wprecon222218
IsItWP Security Scanner222016
WPsec120013
Web Inspector100112

Получается, что сервис Wprecon выглядит наиболее полезным и удобным для проверки безопасности сайта на основе Вордпресс.


Заключение

Мы провели обзор 21 современного инструмента для бесплатной, быстрой, удобной оценки безопасности веб-сайтов в интерактивном режиме, а также сравнительный анализ 20 инструментов.

Таким образом, вне зависимости от того, какой у вас веб-сайт, если вы не хотите тратить много времени на анализ его безопасности, мы рекомендуем использование сервисов H-X Scanner и ImmuniWeb.

Если ваш сайт построен на платформе системы управления содержимым WordPress, дополнительно рекомендуем проверить сайт с помощью сервиса Wprecon.

Как за 30 минут бесплатно проверить свой сайт на наличие уязвимостей — Разработка на vc.ru

Пошагово расскажу как за полчаса комплексно проверить безопасность сайта даже если вы не программист. Статья будет полезна разработчикам, тестировщикам, а также владельцам сайтов.

43 455 просмотров

Всем привет! Сейчас большинство статей в интернете по теме поиска уязвимостей на своем сайте делятся на два типа: это либо банальный список онлайн-сканеров без подробных инструкций как ими пользоваться, либо хардкорные мануалы для фанатов информационной безопасности и прочих хакеров, где без Линукса не разобраться.

Поэтому я решил написать статью, которой мне не хватало, когда я только начинал разбираться в этой теме. Надеюсь эта статья сделает интернет чуть-чуть безопаснее, а вам поможет найти даже те уязвимости, которые вы изначально не закладывали😃.

Статья пригодится:

  • Backend разработчикам: вы сможете быстро тестировать свои веб-приложения на наличие уязвимостей и тем самым повысить их надежность и безопасность данных ваших пользователей. (Если конечно исправите уязвимости, которые найдете )
  • Frontend разработчикам: пока npm собирает ваш фронтенд, вы как раз успеете проверить API вашего веб-приложения. А если повезет и вы сможете найти уязвимости, то вы не только поможете своей компании в будущем сохранить свою репутацию (а себе выбить премию), но и сможете целую неделю незлобно троллить ваших backend разработчиков и DevOps инженеров в общем чате.
  • Тестировщикам: освоите новые инструменты и сможете требовать законную прибавку к зарплате, а также немного считать себя хакерами.
  • Владельцам веб-сайтов и стартаперам без раунда: вы сможете самостоятельно базово проверить свой сайт без привлечения дорогостоящих экспертов, а также сможете лучше понимать технические особенности работы вашей бизнес-машины.

А нужно ли проверять?

Немного фактов и мнений:

Accenture: Лишь 17% компаний готовы эффективно сопротивляться кибератакам

«Ростелеком-Solar»: объем киберинцидентов вырос на 30%

Dell Technologies: 82% компаний пострадали от кибератак и происшествий

Факт доказанный практикой и личным опытом: даже если у вас небольшой интернет-магазин, в 2020 вы уже будете подвергаться кибератакам по несколько раз в день.

С момента попадания в индекс Google\Yandex ваш сайт становится мишенью десятка (а если сайт крупный, то сотни) специализированных ботов, которые круглосуточно мониторят даже небольшие сайты и серверы для поиска уязвимостей и дальнейшего взлома.

У вас может быть грамотная архитектура, красивый дизайн, быстрая скорость загрузки, но всего лишь небольшая ошибка или невнимательность разработчика может серьезно навредить вашему бизнесу. Поэтому необходимо регулярно проверять свой сайт или веб-приложение на наличие уязвимостей.

Хорошая новость — сейчас можно самостоятельно просканировать свое веб-приложение различными бесплатными сканерами безопасности и найти уязвимые места заранее.

Внимание, использование подобных сканеров уязвимостей на чужих сайтах без разрешения владельцев является нарушением закона почти во всех странах.

Теперь я наглядно и пошагово покажу как с помощью таких инструментов самостоятельно проверить свой сайт, а также как разобраться в сгенерированных отчетах .

Что будем проверять:

  • Доступ к серверу и исходным кодам
  • Уязвимости веб-серверов (Apache или NGINX)
  • SQL инъекции
  • Межсайтовый скриптинг (XSS).
  • Устойчивость приложения и сервера к перебору паролей
  • Получение доступа к системным каталогам

Если вы пока еще не знаете, что означают все эти страшные слова и сокращения на английском, то не переживайте, по ходу статьи я обязательно объясню их значения.

В качестве подопытного сайта я написал и развернул небольшой самописный блог с возможностью оставлять комментарии к статьям и добавил в него весь джентльменский набор:

  • Многочисленные SQL инъекции
  • XSS уязвимости
  • Простой пароль для ssh доступа
  • Открытый ftp
  • Отсутствие защиты от перебора паролей
  • База данных, доступная из интернета с простым паролем
  • Слишком широкие права доступа к папкам и файлам

В общем все так, как делать не надо.

1. Проверяем сетевую инфраструктуру.

В кибератаках, также как и войне, все начинается с разведки, чтобы найти уязвимое место соперника. Для того, чтобы эффективно атаковать, злоумышленникам необходимо знать, какое ПО используется на сервере и какие двери открыты или закрыты недостаточно крепко. К несчастью владельцев сайтов, сейчас, чтобы все это узнать, нужно лишь здравое любопытство и утилита nmap.

Nmap — это набор инструментов для сканирования сетевой инфраструктуры веб-сервиса. Он может быть использован для проверки безопасности, для идентификации запущенных серверных приложений.

Nmap позволяет запускать готовые скрипты, которые значительно упрощают анализ вашего сервера. Минус — теперь даже смышленный школьник, вооружившись пачкой скриптов, может предоставлять опасность для серверов компании.

Интересный факт — сyществует целая галерея фильмов, где утилита nmap используется для кибератак. Часть представлено в галерее, под каждой картинкой описание. Более полный список и разбор можно посмотреть по ссылке

Посмотрели картинки, теперь можно и поработать! Приступаем к делу.

Устанавливаем nmap

В установке нет ничего сложного. Примеры установки покажу на примере Windows и Mac OS. В дистрибутивах Linux последняя версия nmap обычно установлена по умолчанию.

Установка на Windows 10

Перейдите по ссылке загрузки nmap и загрузите последнюю стабильную версию. На данный момент (16.09.2020) эта версия 7.80. Скачать ее можно по этой ссылке с официального сайта. Дальше запустите nmap-7.80-setup.exe от имени администратора. Программа установки по умолчанию предложит установить все компоненты, галочки можно не снимать. Описывать шаги далее подробно ( Примите лицензионное соглашение и тд) не буду, там все изи.

Запуск nmap на Windows

Запускать nmap можно как в режиме графического интерфейса, так и через командную строку.

Для запуска графической оболочки введите в строку поиска nmap и в результатах выберите nmap — Zenmap GUI

Для дальнейшей работы вы можете вводить нужные команды в поле «Команда», а затем нажимать на кнопку Сканирование. Результаты сканирования в виде текстового отчета вы можете посмотреть в окне, которое я старательно подписал «Отчет»

Интерфейс Zenmap

Мне ближе использование nmap через командную строку aka консоль. Для запуска командной строки введите «cmd» в строку поиска на панели инструментов. Нажмите Enter и затем откроется командная строка. Дальше прямо в нее можно вводить nmap команды.

Командная строка в Windows 10 c введенной командой nmap выглядит вот так:

Mac OS X

Нажмите Command+Space и введите «Терминал», после этого нажмите Enter. Дальше последнюю версию nmap можно установить через менеджер HomeBrew c помощью следующей команды, которую нужно ввести в терминале:

brew install nmap

Для запуска nmap просто начинайте команду с nmap, ничего сложного 🙂

nmap localhost

Устанавливаем скрипты

Также нам надо установить скрипт nmap_vulners, который будет проводить проверку на то, содержатся ли уязвимости в ПО, которое мы используем.

Для его установки нужно скачать файлы скрипта и перенести файлы http-vulners-regex.nse и vulners.nse в C:\Program Files (x86)\Nmap\scripts.

Если у вас Mac OS, то перенести файлы скрипта нужно в папку /usr/local/Cellar/nmap/<version>/share/nmap/scripts/

Начинаем проверку

Для начала запускаем сканирование своего сервера командой ниже, чтобы выяснить какие порты используются и для чего. Команда выглядит так (подставьте свой ip или домен). Команду нужно вводить в окне консоли, либо если вы используете Zenmap GUI, то в поле «Команда» (пример я привел выше):

nmap -sV -Pn -p- -T5 161.35.92.161

Параметр T5 отвечает за скорость анализа сервера. Скорость можно менять от T0 до T5, где T0 — очень медленная скорость анализа, а T5 — очень быстрая. Если вы не хотите сильно нагружать сервер, то используйте T2.

Параметр -p- означает, что мы будем проверять весь диапазон портов (‘это займет около 10 минут) . Его можно убрать и тогда скрипт просканирует не все порты, а только 1000 первых (самые распространенные).

Ответ будет выглядеть примерно так:

nmap -sV -Pn 161.35.92.161 Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-16 20:03 RTZ 2 (ceia) Nmap scan report for 161.35.92.161 Host is up (0.085s latency). Not shown: 965 filtered ports, 31 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0) 80/tcp open http Apache httpd 2.4.41 ((Ubuntu)) 3306/tcp open mysql MySQL 5.5.5-10.2.24-MariaDB Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 32.39 seconds

Из отчета мы видим, что nmap отобразил нам порты (под колонкой PORT), которые активны. В данном случае у нас используются:

  • Порт 21 занят под FTP
  • Порт 22 занят под SSH.
  • Порт 80 прослушивается сервером Apache.
  • Порт 3306 используется MySQL

Теперь запускаем наш скрипт, который проверит уязвимости в нашем ПО на сервере. Для этого запускаем следующую команду с указанием портов, которые мы будем проверять. Вам нужно будет заменить список портов на свои .

nmap -T5 -sV -Pn 161.35.92.161 —script=vulners.nse -p22,80,443,8080,8443,3306,20,21,23

Пример отчета. Ссылки на описание уязвимости идут после строки vulners (пример такой строки со ссылкой в отчете: CVE-2014-9278 4.0 https://vulners.com/cve/CVE-2014-9278)

Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-16 20:50 RTZ 2 (ceia) Nmap scan report for 161.35.92.161 Host is up (0.094s latency). PORT STATE SERVICE VERSION 20/tcp closed ftp-data 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2. 0) | vulners: | cpe:/a:openbsd:openssh:8.2p1: |_ CVE-2014-9278 4.0 https://vulners.com/cve/CVE-2014-9278 23/tcp filtered telnet 80/tcp open http Apache httpd 2.4.41 ((Ubuntu)) |_http-server-header: Apache/2.4.41 (Ubuntu) | vulners: | cpe:/a:apache:http_server:2.4.41: | CVE-2020-11984 7.5 https://vulners.com/cve/CVE-2020-11984 | CVE-2020-11984 7.5 https://vulners.com/cve/CVE-2020-11984 | CVE-2020-1927 5.8 https://vulners.com/cve/CVE-2020-1927 | CVE-2020-1927 5.8 https://vulners.com/cve/CVE-2020-1927 | CVE-2020-9490 5.0 https://vulners.com/cve/CVE-2020-9490 | CVE-2020-1934 5.0 https://vulners.com/cve/CVE-2020-1934 | CVE-2020-1934 5.0 https://vulners.com/cve/CVE-2020-1934 |_ CVE-2020-11993 4.3 https://vulners.com/cve/CVE-2020-11993 443/tcp closed https 3306/tcp open mysql MySQL 5.5.5-10.2.24-MariaDB 8080/tcp filtered http-proxy 8443/tcp filtered https-alt Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 24.23 seconds

Как видите из отчета, скрипт проанализировал активное ПО нашего сервера и любезно предоставил ссылки с описанием каждой найденной уязвимости. Что согласитесь, очень удобно как для нас, так и для злоумышленников.

Также можно записать результат анализа в файл, который потом можно скинуть ответственному разработчику или системному администратору. Сам файл результатов будет находиться в каталоге, из которого вы запускаете скрипт. Пример такой команды ниже:

nmap -T5 -sV -Pn 161.35.92.161 —script=vulners.nse -p22,80,443,8080,8443,3306,20,21,23 > result.txt

Чтобы избавиться от подобных проблем обычно достаточно обновить используемое ПО до последних версий, где уязвимости старых версий, как правило, уже исправлены.

2. Проверяем устойчивость к перебору.

В нашем случае nmap определил, что на сервере есть ssh, ftp и mysql. Попробуем проверить насколько устойчивые пароли используются.

SSH

Вводим следующую команду (напомню, что вводить нужно либо в консоль, либо в поле «Команда» программы Zenmap GUI.

nmap —script ssh-brute -p22 161.35.92.161 —script-args userdb=users.lst,passdb=passwords.lst

В случае успеха (процесс не быстрый) скрипт выведет подобранный пароль и логин . Подобранные пары логин\пароль будут выведены после строчки Accounts:

22/ssh open ssh ssh-brute: Accounts username:password Statistics Performed 32 guesses in 25 seconds.

Кроме того, можно расширить стандартные списки паролей и пользователей от nmap, заменив файлы users.lst и passwords.lst . Различные базы для брутфорса можно найти в этом gitbub репозитории. Файлы с базой паролей можно разместить в папке nmap/nselib/data

FTP

Теперь проверяем FTP порт следующей командой:

nmap -d —script ftp-brute -p 21 161.35.92.161

Аналогично, сервис выведет подобранные пары логинов и паролей:

PORT STATE SERVICE 21/tcp open ftp | ftp-brute: | Accounts | root:root — Valid credentials |_ Statistics: Performed 864 guesses in 544 seconds, average tps: 4. 8

MySQL

Проверяем доступен ли анонимный вход.

nmap -sV —script=mysql-empty-password <target>

В случае успеха:

3306/tcp open mysql | mysql-empty-password: | anonymous account has empty password |_ root account has empty password

Пытаемся подобрать пару логин\пароль для входа в базу данных mysql.

nmap —script mysql-brute -p 3306 <target> —script-args userdb=users.lst, passdb=passwords.lst

Также если у вас используются CMS (WordPress, Joomla, Drupal, Bitrix) и другие базы данных (Mongo, Postgres, Redis), то можно найти готовые скрипты для проверки устойчивости ваших паролей и форм. Ищите по ключевым словам <name_of_CMS_or_DB> brute force nmap

Проверяем формы авторизации

Найти формы авторизации можно с помощью такой команды (вместо <target> — подставьте домен вашего сайта):

nmap -p80 —script http-auth-finder <target>

После того, как нашли страницы с авторизацией, можно попробовать подобрать пароль и логин для входа в админку сайта.

Параметры

  • http-brute.hostname — имя хоста
  • http-form-brute.path — адрес страницы с формой или адрес с API
  • http-brute.method — тип метода, по умолчанию POST
  • http-form-brute.uservar — устанавливает имя переменной, которая отвечает за username. Если не установлено, то скрипт возьмет имя поля из формы
  • http-form-brute.passvar — устанавливает имя переменной, которая отвечает за пароль. Если не установлено, то скрипт возьмет имя поля из формы

Параметры нужно перечислять через запятую после -script-args.

nmap -p-80 —script=http-form-brute —script-args=http-form-brute.path=/login <target>

Если скрипт успешно сработает, то выведет примерно вот такой результат.

Подобранные данные для входа будут отображены после строчки Accounts. В нашем случае скрипт подобрал логин user с паролем secret. В реальном приложении подбор может также занять продолжительное время, зависит от того насколько стойкий пароль используется.

PORT STATE SERVICE REASON 80/tcp open http syn-ack | http-form-brute: | Accounts | user:secret — Valid credentials | Statistics |_ Perfomed 60023 guesses in 467 seconds, average tps: 138

Если ваша формы авторизации использует cookies параметры или csrf-token, то в этом случае выдаст ошибку. (И это хорошо, значит базовую защиту вы предусмотрели).

В качестве защиты стоит использовать стойкие пароли, а также ограничивать количество запросов с одного IP-адреса (Rate limiting).

3. Ищем скрытые папки и файлы

Часто разработчики или системные администраторы довольно халатно относятся к правам доступа и забывают закрыть доступ к системным и другим важным папкам. Проверить есть у нас на сервере такие папки можно также с помощью утилиты nmap. Команды будет выглядеть так (вместо <target> нужно подставить IP-адрес сервера или домен сайта) :

nmap -sV -p 80 -T5 —script http-enum <target>

В результате в отчете нам покажут доступные для просмотра папки, интересные файлы — файлы паролей, резервные копии базы данных и тд. (Если такие существуют). Дальше уже вам нужно самостоятельно решить какие папки и файлы нужно закрыть от просмотра, а какие оставить как есть.

Пример небольшого отчета.

Host is up (0.024s latency). Not shown: 993 closed ports PORT STATE SERVICE 80/tcp open http | http-enum: | /robots.txt: Robots file | /css/: Potentially interesting directory w/ listing on ‘apache/2.4.41 (ubuntu)’ | /images/: Potentially interesting directory w/ listing on ‘apache/2.4.41 (ubuntu)’ |_ /js/: Potentially interesting directory w/ listing on ‘apache/2.4.41 (ubuntu)’

4. Проверяем на SQL инъекции

Так повелось, что большинство современных веб-приложений в той или иной мере используют SQL базы данных. Обычно параметры веб-страницы или какие-либо пользовательские данные подставляются в SQL запросы и результаты запроса отображаются на веб-странице. Если передаваемые параметры плохо фильтруются, то веб-сервис становится уязвимым для SQL инъекций.

Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно. Именно таким образом чаще всего воруют базы пользователей и их личные данные.

Далее я покажу как с помощью скриптов быстро и эффективно проверить есть в вашем продукте подобные уязвимости. Часто даже довольно опытные разработчики забывают о мерах предосторожности, поэтому даже серьезные продукты имеют подобные проблемы. Попробуем проверить наш тестовый веб-сервис на наличие таких проблем c помощью инструмента sqlmap.

Установка sqlmap.

Sqlmap — это кроссплатформенный сканер с открытым исходным кодом, который позволяет в автоматическом режиме тестировать веб-сервисы на наличие SQL инъекций, а затем использовать их для получения контроля над базой данных.

В данной статье я рассмотрю только способы как можно находить уязвимые для SQL инъекций страницы, API и формы без подробностей о том, как использовать найденные уязвимости для нанесения вреда. (Владельцы сайтов тут облегченно вздохнули). Для использования необходим python версии 2.7 и старше.

Установка на Windows

Для начала работы нам необходимо установить Python. Установщик Python для Windows можно найти на официальном сайте. Ссылку я прикрепил ниже.

На сайте две ветки — 2.x и 3.x, но скачать и установить лучше ветку 3.x. Sqlmap корректно работают с каждой из этих версий, но в дальнейшем нам потребуется версия 3.x.

Загрузить последнюю версию sqlmap можно здесь. Распакуйте архив в любую удобную папку (чтобы было проще ее найти можно распаковать в папку С:\Users\<имя вашего пользователя>)

Для запуска вначале нужно открыть командную строку. Нажмите Win+R, в появившемся окне введите cmd и нажмите enter. Пример запуска:

С:\Users\Admin\sqlmap>python ./sqlmap.py -u http://161.35.92.161/page.php?id=2

Установка на Mac OS X

Для начала установим Python. Для этого откройте Tерминал и запустите следующую команду.

brew install python3

Теперь установим sqlmap.

brew install sqlmap

Запуск sqlmap для Mac OS X.

sqlmap -u http://161.35.92.161/page.php?id=2 —dbs -o -random-agent

Начинаем проверку

В моем тестируемом сервисе я специально подготовил sql уязвимости. Попробуем найти их следующей командой. Параметр —dbs означает, что нам интересны имена баз данных. В случае успеха и наличия уязвимости, после определения баз данных можно перейти к поиску таблиц и получения нужных данных. Команду необходимо вводить в консоль.

python sqlmap.py -u http://161.35.92.161/page.php?id=2 —dbs -o -random-agent

Через некоторое время скрипт может попросить нас уточнить некоторые данные. В данном случае выбираю «нет», чтобы скрипт прогнал все тесты.

[01:14:57] [INFO] fetched random HTTP User-Agent header value ‘Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; YComp 5.0.2.6; MSIECrawler)’ from file ‘C:\Users\Acer\sqlmap\data\txt\user-agents.txt’ [01:15:04] [INFO] testing connection to the target URL [01:15:04] [INFO] checking if the target is protected by some kind of WAF/IPS [01:15:05] [INFO] testing NULL connection to the target URL [01:15:05] [INFO] NULL connection is supported with GET method (‘Range’) [01:15:05] [INFO] testing if the target URL content is stable [01:15:05] [INFO] target URL content is stable [01:15:05] [INFO] testing if GET parameter ‘id’ is dynamic [01:15:05] [INFO] GET parameter ‘id’ appears to be dynamic [01:15:06] [INFO] heuristic (basic) test shows that GET parameter ‘id’ might be injectable [01:15:06] [INFO] testing for SQL injection on GET parameter ‘id’ [01:15:06] [INFO] testing ‘AND boolean-based blind — WHERE or HAVING clause’ [01:15:06] [INFO] GET parameter ‘id’ appears to be ‘AND boolean-based blind — WHERE or HAVING clause’ injectable [01:15:07] [INFO] heuristic (extended) test shows that the back-end DBMS could be ‘CrateDB’ it looks like the back-end DBMS is ‘CrateDB’. Do you want to skip test payloads specific for other DBMSes? [Y/n] n

Скрипт выводит отчет:

[01:15:29] [INFO] testing ‘MySQL >= 5.0 AND error-based — WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)’ [01:15:29] [INFO] testing ‘PostgreSQL AND error-based — WHERE or HAVING clause’ [01:15:29] [INFO] testing ‘Microsoft SQL Server/Sybase AND error-based — WHERE or HAVING clause (IN)’ [01:15:30] [INFO] testing ‘Oracle AND error-based — WHERE or HAVING clause (XMLType)’ [01:15:30] [INFO] testing ‘MySQL >= 5.0 error-based — Parameter replace (FLOOR)’ [01:15:30] [INFO] testing ‘Generic inline queries’ [01:15:30] [INFO] testing ‘PostgreSQL > 8.1 stacked queries (comment)’ [01:15:30] [WARNING] time-based comparison requires larger statistical model, please wait…………………. (done) [01:15:32] [INFO] testing ‘Microsoft SQL Server/Sybase stacked queries (comment)’ [01:15:32] [INFO] testing ‘Oracle stacked queries (DBMS_PIPE.RECEIVE_MESSAGE — comment)’ [01:15:32] [INFO] testing ‘MySQL >= 5. 0.12 AND time-based blind (query SLEEP)’ [01:15:43] [INFO] GET parameter ‘id’ appears to be ‘MySQL >= 5.0.12 AND time-based blind (query SLEEP)’ injectable [01:15:43] [INFO] testing ‘Generic UNION query (NULL) — 1 to 20 columns’ [01:15:43] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found [01:15:45] [INFO] target URL appears to be UNION injectable with 4 columns [01:15:46] [INFO] GET parameter ‘id’ is ‘Generic UNION query (NULL) — 1 to 20 columns’ injectable GET parameter ‘id’ is vulnerable. Do you want to keep testing the others (if any)? [y/N] y

После продолжения анализа нас в первую очередь интересует строчка в конце: GET parameter ‘id’ is vulnerable. Do you want to keep testing the others (if any)? [y/N].

Как можно видеть, скрипт определил, что параметр id уязвим и предлагает протестировать другие параметры. В нашем конкретном случае других параметров нет, но в реальных веб-приложениях таких параметров может быть десятки, так что иногда имеет смысл проверить все.

Итоговый отчет:

sqlmap identified the following injection point(s) with a total of 74 HTTP(s) requests: — Parameter: id (GET) Type: boolean-based blind Title: AND boolean-based blind — WHERE or HAVING clause Payload: id=2 AND 9795=9795 Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: id=2 AND (SELECT 7989 FROM (SELECT(SLEEP(5)))geJr) Type: UNION query Title: Generic UNION query (NULL) — 4 columns Payload: id=2 UNION ALL SELECT NULL,CONCAT(0x716a6a6b71,0x736654714b69505a4f6f64434776566d7a43455179446561434f7a46434241555449574d6759575a,0x7162627171),NULL,NULL— — — [INFO] the back-end DBMS is MySQL web server operating system: Linux Ubuntu web application technology: Apache 2.4.41 back-end DBMS: MySQL >= 5.0.12 [INFO] fetching database names available databases [2]: [*] information_schema [*] vc_test [INFO] fetched data logged to text files under ‘C:\Users\Admin\AppData\Local\sqlmap\output\161. 35.92.161′

В итоге скрипт не только определил, что параметр id является уязвимым, но и версию СУБД, а также получил название используемой базы данных на сервере — vc_test, в которой содержится контент сайта. Эту информацию можно найти в конце сгенерированного отчета.

В дальнейшем для злоумышленника уже обычно не проблема получить данные в таблицах, а возможно и полный контроль над всей БД, а то и всем нашим сервером и исходным кодом сайта, если для запросов используется пользователь с широкими правами.

Кроме того, sqlmap позволяет задавать http заголовки и параметры Cookies, что довольно удобно для тестирования, особенно когда для получения результата запроса требуется авторизации.

Пример тестирования запроса POST. Параметры, которые передаются в теле запроса записываются в опцию скрипта —data. Необходимые параметры для POST запроса можно подсмотреть в консоли браузера (Ctrl + Shift + I в Windows, затем перейти в вкладку Network, совершить нужное действие, а затем изучить каким образом формируется запрос)

sqlmap. py -u http://localhost/login —data=»username=alex&password=pass» —dbs -o -random-agent

После авторизации обычно необходимо передать нужные Сookie. В sqlmap за это отвечает опция —cookie. Нужные значения cookies можно получить в инструментах разработчика вашего браузера. (в Windows ctrl+shift+i, затем найдите вкладку Network, а в ней щелкните на запрос с именем домена сайта. В окне справа пролистайте пока не увидите параметр cookie)

Пример команды sqlmap c опцией —cookie.

sqlmap.py -u http://localhost/create —data=»name=alex&message=hacked» —cookie=»security_level=low; PHPSESSID=05aa4349068a1kkaje4kcqnr9o6″ —dbs -o -random-agent

Если параметров несколько, то можно явно указать какой параметр будем тестировать с помощью опции -p.

sqlmap.py -u «http://localhost/profile/?username=alex&page=2» -p username

Можно задавать http заголовки через опцию —headers. Это крайне полезно для тестирования ваших API.

Также если get параметр передается не как get параметр, а как URI, то в этом случае нужно явно указать с помощью *, что данная часть URI является параметром. Пример:

sqlmap.py -u «http://localhost/api/v2/news/2*» —headers=»Authorization: Bearer <token>» —dbs -o -random-agent

Таким образом можно довольно тщательно протестировать ваше веб-приложение на наличие SQL инъекций. Также крайне полезно использовать sqlmap для автоматических тестов и запускать их после каждого изменения кода вашего приложения и не допускать код в ветку master, если он содержит уязвимость.

Для защиты от SQL инъекций нужно тщательно фильтровать параметры и HTTP заголовки, а также использовать подготовленные запросы.

5. Проверка на XSS уязвимости.

Межсайтовый скриптинг (XSS) – это уязвимость, которая заключается во внедрении злоумышленником своего Javascript кода в веб-страницу, которая отображается в браузере пользователя.

После такого внедрения злоумышленник фактически захватывает веб-страницу и может манипулировать данными пользователя, когда он находится на странице. В случае успеха злоумышленник может:

  • Внедрять свои скрипты в веб-страницу
  • Отправлять на свой сервер пользовательские данные — банковские карты, идентификаторы сессий, пароли и тд.
  • Совершать действия от имени пользователя — рассылать спам, совершать денежные переводы

Уязвимость возникает из-за недостаточной фильтрации данных, которые выводятся при отображении страницы.

Такие уязвимости довольно часто встречаются даже в крупных продуктах, поэтому стоит обязательно тестировать свои веб-приложения на наличие XSS уязвимостей.

В данном случае для тестирования мы воспользуемся утилитой XSStrike

ХSStrike — это довольно продвинутый сканер для поиска XSS уязвимостей c открытым исходным кодом. Он написано на Python3 и довольно прост в начальной настройке и использования.

Установка

Для установки необходимо скачать архив по ссылке и распаковать в удобную вам папку. После этого необходимо открыть консоль (ранее я уже показывал как это сделать в Mac и Windows) и перейти в распакованную папку. Затем нужно выполнить команды в консоле:

pip3 install pygame

Установим необходимые для корректной работы библиотеки:

pip3 install -r requirements.txt

Теперь мы готовы к тестированию. Пример простого запуска, вместо моего url укажите адрес страницы, которую хотите протестировать:

python xsstrike.py -u «http://161.35.92.161/index.php?page=2» —blind

Очень быстро скрипт обнаруживает, что параметр page является уязвимым ( строчка Reflections found ) и через него можно передать js код, который будет исполнен на странице. Пример такого кода приводится в строчке Payload. Такой тип XSS уязвимостей называется reflected XSS.

[~] Checking for DOM vulnerabilities [+] WAF Status: Offline [!] Testing parameter: page [!] Reflections found: 1 [~] Analysing reflections [~] Generating payloads [!] Payloads generated: 3072 ———————————————————— [+] Payload: <HTmL%0aONmOuSEoVeR+=+(prompt)«%0dx// [!] Efficiency: 100 [!] Confidence: 10 [?] Would you like to continue scanning? [y/N] n

Кроме того, можно проверять и формы. Отправим на проверку форму, которая отправляет сообщение в наш сервис. Чтобы передать список POST параметров используем опцию —data.

python xsstrike.py -u «http://161.35.92.161/index.php» —data «name=&message=» —blind

Результат: параметр name уязвим.

[~] Checking for DOM vulnerabilities [+] WAF Status: Offline [!] Testing parameter: name [!] Reflections found: 3 [~] Analysing reflections [~] Generating payloads [!] Payloads generated: 4608 ———————————————————— [+] Payload: <A%0aOnmOUSeOVEr%0d=%0d(prompt)«%0dx>v3dm0s [!] Efficiency: 100 [!] Confidence: 10 [?] Would you like to continue scanning? [y/N]

Как выглядит ответ, когда скрипт не находит уязвимых параметров:

[~] Checking for DOM vulnerabilities [+] WAF Status: Offline [!] Testing parameter: name [-] No reflection found [!] Testing parameter: message [-] No reflection found

Кроме того, в XSStrike поддерживает возможность передавать http заголовки, в том числе и cookies и проверять страницы для открытия которых нужна авторизация. Для этого используется опция —headers

python xsstrike.py -u «http://161.35.92.161/index.php» —data «name=&message=» —headers «Authorization: Bearer <token> Cookie: zmname\=none» —blind

Также можно запустить обход по всему сайту. Нужно указать стартовую страницу и сканер начнет обход всех найденных страниц. Запись -l 100 отвечает за количество страниц обхода.

python xsstrike.py -u «http://161.35.92.161» —blind —crawl -l 100

Скрипт покажет страницы, на которых были найдены уязвимые параметры. Найденные страницы можно уже исследовать подробнее.

[~] Crawling the target [++] Vulnerable webpage: http://161.35.92.161/index.php [++] Vector for message: <htMl%09oNMOuseoVER%0d=%0dconfirm()// [++] Vulnerable webpage: http://161.35.92.161/index.php [++] Vector for page: <hTMl%0donPointereNter%0a=%0a[8].find(confirm)> [++] Vulnerable webpage: http://161.35.92.161/index.php [++] Vector for name: <D3v/+/oNMoUSeoveR%0a=%0a(confirm)()%0dx>v3dm0s !] Progress: 3/3

Также полезная функция — обход url страниц, которые указаны в файле с помощью опции —seeds. Можно также использовать вместе с опцией —headers.

python xsstrike.py -u «http://example.com» -l 3 —seeds urls.txt

Таким образом можно достаточно тщательно проверить свое веб-приложение на XSS уязвимости. Также хорошим ходом будет написать простой bash скрипт для объединения всех проверок XSS в один скрипт, специально заточенный под ваш проект.

Его задачей будет тестировать ваше веб-приложение после каждого изменения исходного кода и не пускать коммит в ветку master, если страницы и формы содержат XSS уязвимости .

Для борьбы с XSS уязвимости нужно также тщательно фильтровать данные, которые показываются пользователю.

Заключение

Надеюсь руководство будет полезным и поможет вам сделать свои сайты и веб-приложения безопаснее. Также стоит проверять не только сам сайт, но и ваши админки и вспомогательные сервисы на поддоменах, ведь они также могут быть уязвимы перед подобными автоматизируемыми системами и скриптами.

Конечно приведенные меры не обеспечивают 100% защиты, и я не рассказал о многих других типовых уязвимостях, но показанные меры помогут защитить проект от автоматизированных систем взлома и злоумышленников с невысокими навыками.

Если есть вопросы, то смело пишите их в комментариях или мне в телеграм t.me/alex.belousov92

Также будет интересно почитать, что вы используете для тестирования безопасности ваших веб-приложений. Если статья наберет достаточное количество плюсов, то напишу продолжение. Поэтому не забудьте проголосовать, если статья понравилась!

Проверка сайтов на безопасность онлайн| 10 рабочих сервисов для проверки безопасности сайта

Нарушение безопасности веб-ресурса чревато серьезными последствиями. Среди них — блокирование доступа поисковиками на уровне домена, нестабильная работа сайта, хищение данных пользователей. Итог — обрушение трафика, недоверие пользователей, ухудшение пользовательских факторов, пессимизация и другие неприятности.

Регулярный мониторинг состояния ресурса поможет избежать фатальных последствий. Возникает вопрос: как проверить безопасность сайта быстро и надежно? Удобнее всего — воспользоваться онлайн-сервисами.

Что понимается под безопасностью сайта?

Обеспечение сохранности внутренних и пользовательских данных и их недоступность для третьих лиц, стойкость веб-ресурса к заражению вирусам и способность сохранять работоспособность при кибератаках.

По некоторым данным, примерно каждый третий виртуальный ресурс отслеживается сторонними людьми. Огрехи в безопасности возникают на этапе разработки. И если проблемы не были обнаружены и справлены сразу, ресурс остается уязвимым.

Чаще всего владельцы взломанных ресурсов сталкиваются с такими проблемами:

  • публикация недостоверных данных на сайте;
  • злоумышленники добираются до сервера, где собраны ценные данные;
  • кибератака базы данных о владельцах банковских карт, хищение данных о номерах счетов и персональных данных клиентов, которые они вводят для совершения транзакции;
  • атака вирусами, легко взламывающими взламывали пароли, рассылка спама и другие подобные гадости;
  • Dos-атаки, которые приводят к падению трафика или полному прекращению его поступления и др.

Сейчас существуют различные Web-сервисы для проверки сайтов на безопасность, которые могут оценить их примерный уровень безопасности и надежности.

Благодаря подобному тестированию можно заранее оценить безопасность сайта и его уязвимость.

Вот подборка сервисов, которые используем мы, оценивая безопасность ресурса в рамках услуги поискового продвижения и оптимизации.

Mozilla еще в 2016 году решила позаботиться о вебмастерах и создала собственный сканер с широким списком механизмов сетевой безопасности. В него входят флаги перенаправления и многое другое. Инструмент проверяет не только наличие безопасности cookie, CORS, CSP, HPKP, HSTS и других технологий, но и корректность их реализации.

Учтите, что функционал для мониторинга безопасности кода здесь нет. Но в свободном доступе есть множество других инструментов для проверки уязвимости сайта онлайн, в том числе, и из нашего списка.

Бесплатный, удобный и функциональный сервис с интуитивно понятным интерфейсом. WEB-тестер:

  • мониторит состояние безопасности сервера ресурса;
  • его соответствие стандартам и GDPR, PCI DSS;
  • проверяет HTTP-заголовки;
  • тестирует движки для сайтов, базирующихся на WordPress и Drupal;
  • оценивает степень риска для библиотек интерфейсов и многое другое.

Вы получаете результаты в наглядных показателях, с которыми удобно работать, хоть сканирование и потребует некоторое время.

Плагин обеспечивает безопасность сайта WordPress, сканирует его версию, загруженные модули и темы, имена юзеров и пр. А также проверяет, не внесен ли сайт в блэк лист через Google Safe Browsing (черный список ресурсов, на которых не следует размещать обратные ссылки).

В результате вы получаете развернутый отчет с кратким пояснением по каждому пункту.

Web-сканер с free доступом работает в быстром и нормальном режиме. Заплатив небольшую цену, можно подключить ежедневный мониторинг для проверки безопасности сайта онлайн в режиме реального времени: как только сайт становится уязвимым, вам на почту падает уведомление.

В быстром режиме проверка занимает 5 минут. Нормальное тестирование — от нескольких минут до нескольких часов, в зависимости от сложности и объема.

Сканер проводит проверку сайта на вредоносный код, сканирует файлы и ссылки. Процесс относительно долгий, но результат того стоит.

После проверки сервис выдает развернутую инструкцию о том, как самостоятельно очистить ресурс от вируса, Можно заплатить и антивирус сделает это сам.

Помимо анализа сайта на вирусы онлайн, Antivirus Alarm предлагает установить превентивную защиту, которая фильтрует входящие файлы в режиме реального времени. То, что нужно для сайтов на php.

Пентест — это программа, которая используется для поиска уязвимостей в инфраструктуре, позволяющих хакеру получить доступ к инфоресурсам и техническим средствам. Помимо определения слабых мест и тестирования на предмет проникновения, пентест дает возможность оценить защищенные элементы и получить исчерпывающий отчет о потенциальных рисках информационной безопасности.

Тестер быстрый и простой в использовании. Функционал есть платный и ограниченный бесплатный.

VirusTotal — это своеобразный агрегатор нескольких десятков сервисов, которые помогут проверить сайт на вирус онлайн по ip-адресу. Тестер можно загрузить в браузерные закладки для быстрого сканирования веб-ресурса. Обновление антивирусной базы делается автоматически, что определяет VirusTotal, как один из самых надежных инструментов для мониторинга безопасности.

Это сервис для мониторинга безопасности ресурсов на WordPress. Бесплатная версия с ограниченным функционалом. Тестировщик использует распространенный бесплатный движок WPscan — инструмент для определения слабых мест ресурса, работающий в командной строке. Он сводит данные об устаревших версиях WordPress, его элементов и других уязвимостях.

Инструмент позволяет проверить сайт на безопасность онлайн с глубоким мониторингом на наличие левых файлов, кода, фреймов, редиректов и ссылок. В результате сервис выдает большой структурированный отчет.

Это интерфейс к гугловскому блэк листу. Многие вышеупомянутые сканеры, в том числе и описанный только что Quttera, используют этот интерфейс для своих результатов. Он интегрирован с Google Search Console. Это своеобразная встроенная проверка сайта на вредоносный код Google, которая может определить ваш ресурс, как вредоносный. Если вдруг он окажется в блэк листе, интерфейс выдаст подробные инструкции о том, как исправить эту проблему. Сервис бесплатен, не требует регистрации, прост в использовании и быстр, но не проверяет сайты на уязвимости.

Теперь вы знаете, как проверить сайт на безопасность и наличие слабых мест. Удачи!

Оцените статью

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Личный помощник

Ведет дела в рамках услуги поисковая рекламаПогружается в специфику работы, но при этом умеет донести информацию доступным способомСвязывается с заказчиком минимум раз в неделю для передачи отчетов, обсуждения результатов

Обсудить проект

Сканер уязвимостей веб-сайтов онлайн 🛡️ Сканируйте сайт бесплатно

Тестирование веб-приложений

Сканирование уязвимостей в веб-приложениях и поиск SQL-инъекций, XSS, подделки запросов на стороне сервера, обхода каталогов и других проблем, а также проблем с конфигурацией веб-сервера.

Этот инструмент тестирования безопасности веб-приложений выполняет комплексные проверки безопасности веб-сайтов, которые обнаруживают Log4Shell, OWASP Top 10 и другие уязвимости с высоким риском.

Платные планы предоставляют вам доступ ко всем его возможностям, а также к более чем 20 другим инструментам и функциям тестирования безопасности.

Образец отчета Варианты использования Технические детали

Сканер уязвимостей веб-сайтов

Сканер уязвимостей веб-сайтов — это специализированный инструмент тестирования безопасности, разработанный нашей командой для более эффективной и быстрой оценки безопасности веб-приложений.

В своей полной (платной) версии этот проверенный сканер веб-приложений выполняет всесторонние тесты безопасности веб-сайтов для любого типа веб-приложений (например, статических и динамических веб-приложений, одностраничных приложений, многостраничных приложений, веб-сайтов электронной коммерции, прогрессивных приложений, так далее.).

Этот инструмент тестирования безопасности веб-сайтов готов к использованию на нашей облачной платформе. Благодаря простой настройке параметров сканирования (например, сканирование веб-сайтов с проверкой подлинности) специалисты по безопасности могут сразу же приступить к тщательному аудиту веб-приложений. Автоматическое сопоставление направлений атак, шаблоны сканирования, сканирование по расписанию, доступ к API и другие функции расширяют возможности этого сканера уязвимостей веб-сайтов , который становится лучше с каждым обновлением.

Технические характеристики

Облегченная версия позволяет запускать бесплатное сканирование безопасности веб-сайта, которое включает ограниченный набор тестов и не требует вмешательства. В нем показано, как этот сканер веб-приложений сканирует программное обеспечение веб-сервера, находит неправильно настроенные заголовки HTTP, выявляет проблемы с конфигурацией сервера и многое другое.

См. полный список тестов, чтобы сравнить возможности и оценить, какую версию выбрать для проверки безопасности веб-сайта на наличие проблем. Вы также можете просмотреть отчет о сканировании, который платные клиенты получают, когда используют полнофункциональную версию этого сканера уязвимостей веб-сайта.

Отчетность

Вот пример отчета нашего сканера уязвимостей веб-сайта, который дает вам представление о том, как наши инструменты экономят ваше время и сокращают повторяющуюся ручную работу.

  • Краткий обзор уязвимостей

    В отчете содержится сводка результатов и рейтингов рисков, полезный обзор, который можно использовать для оценки уровней риска и количества обнаружений.

  • Автоматически подтвержденные результаты

    Сканер веб-сайтов также автоматически проверяет некоторые результаты, используя обнаруженные уязвимости. Они выделяются в отчетах своим тегом «Подтверждено» и поставляются с доказательством эксплуатации и опцией атаки Replay.

  • Рекомендации по исправлению ситуации

    Каждое обнаружение сопровождается подробным описанием рисков и классификацией согласно OWASP 2021, OWASP 2017 и CWE (при наличии). Он также включает в себя конкретные рекомендации, которые помогут вам приступить к устранению выявленных проблем.

  • Сортировка по рейтингу риска

    Уязвимости сортируются по рейтингу риска, начиная с самого высокого выявленного. Это экономит ручную работу и время, освобождая вас для других задач.

  • Доступны расширенные варианты отчетов о пентестах

    Платные планы предоставляют вам доступ к нашему инструменту генерации отчетов о пентестах, который создает настраиваемые отчеты .DOCX , которые вы можете автоматически создавать с помощью готовых к использованию или настраиваемых шаблонов.

Скачать образец отчета

Ваш браузер не поддерживает видео HTML5. Вот ссылка на видео, показывающее, как сканер уязвимостей веб-сайта вместо этого отображает результаты в отчете, созданном при сканировании случайной цели.

Получите мгновенный доступ к специальным сканерам уязвимостей и функциям автоматизации, которые упрощают процесс пентестинга и дают ценные результаты. Платформа помогает вам охватить все этапы взаимодействия, от сбора информации до сканирования веб-сайтов, сканирования сети, эксплуатации и отчетности.

Создайте свою учетную запись сейчас

Примеры использования

Запустите сканирование безопасности веб-приложений, чтобы найти известные уязвимости и неправильные конфигурации в серверном программном обеспечении, библиотеках JavaScript, сертификатах SSL/TLS, политиках клиентского доступа и других элементах.

  • Тестирование на проникновение веб-приложений

    Ускорьте пентест с помощью этой онлайн-проверки безопасности веб-сайта. Он уже установлен и настроен с оптимальными настройками для достижения наилучших результатов и производительности. Просто запустите сканирование и получите уведомление, когда результаты будут готовы.

  • Проверка веб-безопасности с проверкой подлинности

    Тщательная оценка безопасности веб-приложения не будет полной без проверки подлинности сканирования. Наш сканер безопасности веб-сайтов поддерживает любой тип аутентификации, который может использовать ваша цель, включая единый вход (SSO) и настройки многофакторной аутентификации.

    Методы включают:

    • Аутентификация на основе записи
    • Аутентификация на основе форм
    • Аутентификация на основе файлов cookie
    • Аутентификация заголовков.
  • Обнаружение раскрытия конфиденциальных данных

    Проверьте наличие уязвимостей и неправильных конфигураций, которые раскрывают конфиденциальные данные в вашем веб-приложении (адреса электронной почты, номера социального страхования, номера кредитных карт и т. д.). Выявляйте проблемы, влияющие на данные в пути и данные в состоянии покоя, включая проблемы SSL/TLS, незащищенные резервные копии данных, файлы конфигурации и многое другое.

  • Автоматическое сопоставление направлений атак

    Визуализируйте и фильтруйте веб-технологии, которые использует ваша цель, чтобы найти индикаторы воздействия и области высокого риска (например, устаревшее серверное программное обеспечение, уязвимые версии технологий и т. д.). Наш онлайн-сканер уязвимостей автоматически передает результаты, включая скриншоты, в представление Attack Surface вместе с другими инструментами на платформе.

  • Самостоятельная оценка безопасности

    Оцените безопасность своего веб-сайта, чтобы обнаружить бреши в безопасности вашего веб-приложения. Получайте четкие и простые рекомендации после проверки каждой уязвимости сайта, чтобы вы могли исправить проблемы веб-безопасности до того, как ими воспользуются настоящие злоумышленники.

  • Аудит сторонних веб-сайтов

    Если вы занимаетесь веб-разработкой, вы можете использовать этот отчет о безопасности веб-сайта, чтобы доказать своим клиентам, что вы предприняли надлежащие меры для обеспечения безопасности их веб-приложений для использования и работы.

Просканируйте свой веб-сайт

Это того стоит!

Pentest-Tools помогли мне просканировать мои домашние серверы, чтобы выявить проблемы безопасности в моих развертываниях. За их дальнейшим развитием и ростом было приятно наблюдать.

У них есть полный набор инструментов для тестирования моей домашней среды. Некоторыми из моих наиболее часто используемых функций были их сканеры веб-сайтов и сетей, Sniper: Auto Exploiter, различные тесты страницы входа и их поиск поддоменов, чтобы помочь мне с поддоменами, о которых я забыл.

Владелец бизнеса в области компьютерной и сетевой безопасности

Владелец бизнеса

выдержка из обзора на

G2.comЭтот отрывок является частью обзора Pentest-Tools.com, проведенного владельцем бизнеса в компьютерной и сетевой безопасности на G2

Сканер уязвимостей веб-сайтов

Что такое сканер уязвимостей веб-сайтов?

Сканер веб-уязвимостей — это инструмент тестирования безопасности веб-сайтов, который автоматически обнаруживает бреши в безопасности и неправильные настройки в веб-приложениях и их компонентах. Его независимые от языка возможности делают его важным инструментом для обнаружения распространенных уязвимостей в веб-службах, веб-серверах, прокси-серверах и серверах веб-приложений.

Наша команда разработала сканер уязвимостей веб-сайта на сайте Pentest-Tools.com, чтобы предоставить специалистам по безопасности надежное, полноценное решение, предлагающее как варианты углубленного тестирования, так и дополнительные возможности автоматизации и отчетности.


Что отличает наш сканер уязвимостей веб-сайтов

Вы можете использовать наш сканер уязвимостей веб-сайтов онлайн, не тратя время на ручную настройку сценариев. Список тестов, которые он выполняет, общедоступен, а параметры настройки позволяют вам полностью контролировать его функциональность.

Наряду с широкими возможностями создания отчетов и мощными функциями автоматизации наш сканер уязвимостей веб-сайтов является мощным инструментом для динамического тестирования безопасности приложений (DAST) и статического тестирования безопасности приложений (SAST).

Клиенты также интегрируют наш сканер веб-сайтов в свой процесс безопасного жизненного цикла разработки программного обеспечения (SDLC), особенно через наш API, а также посредством запланированных и массовых сканирований.

Сканер веб-сайтов Выводы, автоматически проверенные нашим сканером, отмечены тегом Подтверждено. Результаты также включают снимки экрана и статистику сканирования , такую ​​как просмотренные URL-адреса, общее количество HTTP-запросов, количество ошибок и другие полезные сведения.


Как работает наш сканер уязвимостей веб-сайтов

При использовании онлайн-сканера уязвимостей веб-сайтов цель состоит в том, чтобы перевести как можно больше рутинных задач в фоновый режим. Вы можете использовать наш сканер уязвимостей веб-сайтов отдельно или для более глубокого изучения поддоменов и виртуальных хостов, а также открытых портов, обнаруженных сканером портов TCP и инструментом сканирования портов UDP на этапе разведки.

Какую бы тактику вы ни предпочли, этот инструмент поможет вам свести к минимуму рутинные задачи и выиграть время, чтобы использовать свой уникальный опыт для установления связей, на которые способен только опытный специалист.

Версия Light Scan – оптимизирована для скорости

Вы можете использовать наш инструмент в качестве бесплатного сканера уязвимостей веб-сайтов без создания учетной записи. Это пассивное сканирование выполняет только выборку законных запросов к целевой системе и генерирует максимум 20 HTTP-запросов к серверу.

Используйте легкое сканирование, если вы не хотите поднимать тревогу, но помните, что оно только царапает поверхность с точки зрения тестирования безопасности.

Полная версия сканирования – обнаружение собственной собственности

Полное сканирование подробно описывает всю поверхность атаки целевой системы путем обхода приложения, обнаружения скрытых файлов, использования дополнительных векторов атаки для проверки на наличие проблем с конфигурацией сервера и устаревших служб, создания снимков экрана и т. д.

Это сканирование безопасности веб-сайта отправляет до 10 000 HTTP-запросов, которые могут вызывать сигналы тревоги от устройств IDS (система обнаружения вторжений). Не беспокойтесь: это , а не деструктивное сканирование.

После обхода целевого приложения инструмент отправляет различные входные данные для параметров страниц и ищет определенные веб-уязвимости, такие как: внедрение SQL, межсайтовые сценарии, включение локальных файлов, внедрение команд ОС и многие другие. Сканер безопасности сайта также пытается обнаружить конфиденциальные файлы с сервера (например, файлы резервных копий, старые файлы, интерфейсы администратора, архивные файлы и т. д.).

Чтобы свести к минимуму количество ложных срабатываний, сканер уязвимостей веб-сайтов также включает метод обнаружения 404 страниц.

Широкие возможности настройки

За простым интерфейсом нашего сканера уязвимостей веб-сайтов скрывается надежный, предварительно сконфигурированный и точно настроенный механизм, который работает в распределенной среде и может выполнять несколько параллельных сканирований .

Чтобы каждая проверка безопасности веб-сайта учитывалась, комбинируйте параметры сканирования для тщательной оценки. Параметры настройки включают в себя возможность:

  • установить настраиваемые ограничения на количество запросов в секунду к цели
  • выбрать из обширного списка начальных тестов , который включает обнаружение методов отладки HTTP и неправильных конфигураций CORS и пассивные проверки , которые включают обнаружение для Log4Shell, внедрения кода PHP, внедрения кода Python, внедрения кода Perl, внедрения кода Ruby, внедрения шаблона на стороне сервера (SSTI), взломанной аутентификации, содержимого смешанного шифрования и многих других.

Используйте этот сканер веб-сайтов онлайн с другими функциями нашей облачной платформы, чтобы еще больше расширить его возможности:

  • Параметры автоматизации, такие как роботы для пентеста и шаблоны сканирования
  • Веб-хуки для уведомлений в реальном времени
  • Плановые сканирования и массовое сканирование
  • Совместное использование рабочего пространства и элементов для эффективного сотрудничества
  • Поиск шаблонов и шаблонов отчетов

Сканер безопасности также регулярно получает обновления, постоянно совершенствуясь благодаря новым функциям.


Сканирование с проверкой подлинности

Сканер уязвимостей веб-сайта на Pentest-Tools.com также позволяет сканировать целевое веб-приложение в качестве пользователя, прошедшего проверку подлинности. Вы можете настроить аутентификацию несколькими способами:

  • Аутентификация пользователя/пароля , когда сканер сначала пытается пройти аутентификацию по предоставленному URL-адресу для входа и получить действительный файл cookie сеанса. Этот файл cookie используется со всеми HTTP-запросами к серверу, выполняя сканирование с проверкой подлинности. Все, что вам нужно сделать, это проверить, прошла ли аутентификация успешно, прежде чем начать сканирование.
  • Cookie Authentication , где вы можете указать уже действительный файл cookie сеанса (или несколько), который отправляется с каждым HTTP-запросом на сервер. Вы должны сначала получить файл cookie сеанса, вручную войдя в целевое приложение с помощью веб-браузера и скопировав/вставив файл cookie из браузера в сканер.
  • Проверка подлинности заголовков , где вы можете указать настраиваемые заголовки HTTP, которые отправляются с каждым запросом целевому приложению. Вы можете использовать их для аутентификации (например, токены JWT, базовая аутентификация и т. д.) или для других конкретных функций приложения.
  • Записанная аутентификация , где вы можете записать шаги, необходимые для аутентификации в цели. Затем сканер использует эту запись для автоматического воспроизведения действий для получения действительного сеанса каждый раз, когда он обнаруживает, что требуется повторный вход в систему.

Полный список тестов сканера уязвимостей веб-сайтов

. содержит запись с подстановочными знаками (clientaccesspolicy.xml, crossdomain.xml)

Легкое сканирование

Полное сканирование

Проведенные тесты0271

Included Included Fingerprint web server software
Included Included Analyze HTTP headers for security misconfiguration
Included Included Check the security of HTTP cookies
Включено Включено Проверить сертификат SSL сервера
Включено Включено Проверьте, затронут ли на серверной программное обеспечение известные уязвимости
включены включены Анализируйте роботы. TXT для интересных URLS
Включены
. Включены
Включено Включено Обнаружение проблем с конфигурацией сервера, таких как Листинг 9 Каталога0276
Included Included Check if HTTP TRACK/TRACE methods are enabled
Not included Included Crawl website
Not included Included Check for SQL Injection
Не включено Включено Проверка на наличие межсайтовых сценариев
Не включено Включено Проверка на включение локальных и удаленных файлов
Not included Included Check for OS Command Injection
Not included Included Check for ASP Cookieless Cross-Site Scripting
Not included Included Check for Server Side Подделка запроса
Не включено Включено Проверка на открытую переадресацию
Не включено Включено Check for PHP Code Injection
Not included Included Check for JavaScript Code Injection
Not included Included Check for outdated JavaScript libraries
Not included Included Поиск административных страниц
Не включено Включено Проверка конфиденциальных файлов (архивы, резервные копии, сертификаты, хранилища ключей) на основе имени хоста и некоторых общих слов
Not included Included Attempt to find interesting files / functionality
Not included Included Check for information disclosure issues
Not included Included Weak Password Submission Method
Не включено Включено Представление учетных данных открытым текстом
Не включено Included Verify Domain Sources
Not included Included Check for commented code/debug messages
Not included Included Find Login Interfaces
Not included Included Сканирование конфиденциальных данных

Предупреждение

Полное сканирование создает высокий уровень шума в сети. Большинство правильно настроенных IDS обнаружат это сканирование как атакующий трафик. Не используйте его, если у вас нет надлежащего разрешения от владельца целевого веб-сайта.


Параметры сканирования для выплаты клиентов

Параметр

Описание

13. Инструмент не следует никаким перенаправлениям, поэтому будет сканироваться точный URL-адрес. Если вы хотите сканировать только определенный каталог или путь, вы можете добавить его в URL-адрес, например: http://www.mycompany.com/base_directory . Все URL должны начинаться с http или https .
Легкое сканирование Это быстрое, пассивное и ненавязчивое сканирование.
Полное сканирование Это полная оценка, которая охватывает гораздо более широкий спектр тестов безопасности.
Начальные тесты Отпечаток веб-сайта, уязвимости серверного программного обеспечения, Robots.txt, библиотеки JavaScript, сертификаты SSL/TLS, политики клиентского доступа, методы отладки HTTP, отсутствие файла Security.txt, неверная конфигурация CORS, обнаружение ресурсов
Опции двигателя
  • Classic Spider — используется для сканирования классических веб-сайтов
  • SPA Spider — используется для сканирования веб-сайтов с одностраничными приложениями (тяжелый JavaScript); Этот конкретный параметр все еще находится в стадии бета-тестирования.
  • Ограничения — используется для контроля глубины сканирования и количества запросов в секунду
  • Исключенные URL-адреса — список URL-адресов, которые следует игнорировать при сканировании.
Варианты атаки
  • Активные проверки: — XSS, SQL-инъекция, Включение локального файла, Внедрение команд ОС, Подделка запроса на стороне сервера, Открытое перенаправление, Неверная аутентификация, Внедрение кода PHP, Внедрение кода JavaScript на стороне сервера, Внедрение кода Ruby, Внедрение кода Python, Внедрение кода Perl, Удаленное выполнение кода Log4j, Внедрение шаблона на стороне сервера, Удаленное выполнение кода ViewState;
  • Пассивные проверки: заголовков безопасности, безопасность файлов cookie, список каталогов, безопасная связь, метод отправки слабого пароля, код с комментариями/коды ошибок, отправка учетных данных открытым текстом, проверка источников домена, содержимое смешанного шифрования, сканирование конфиденциальных данных, поиск входа Интерфейсы
Проверка подлинности
  • Проверка подлинности на основе записи требуется
  • Аутентификация на основе форм — Учетные данные сканера для попытки аутентификации перед началом сканирования
  • Аутентификация на основе файлов cookie — Действительный файл cookie сеанса, который будет использоваться сканером для проверки подлинности сканирования
  • Аутентификация заголовков — Пользовательские заголовки HTTP, которые также могут использоваться для аутентификации (например, токены JWT, базовая аутентификация и т. д.)
Уведомления Получайте уведомления, когда результаты сканирования соответствуют заданным вами условиям.

Узнайте, как настроить сканер веб-сайтов для достижения наилучших результатов.


Что делать после запуска сканера уязвимостей веб-сайта

Помимо сканера уязвимостей веб-сайта, у вас есть полный арсенал онлайн-инструментов для тестирования безопасности веб-сайта на Pentest-Tools.com для проведения тщательной и эффективной оценки уязвимости веб-сайта.

Вы можете использовать средство поиска субдоменов и специальные инструменты для поиска виртуальных хостов для каждого веб-приложения. Запуск сканера портов TCP и инструмента сканирования портов UDP поможет вам обнаружить все открытые порты, чтобы обеспечить полное покрытие во время оценки безопасности.

Если копнуть глубже, наши различные веб-сканеры CMS помогут вам обнаружить уязвимости WordPress, Drupal, Joomla и SharePoint. И вы можете дополнительно изучить все это с помощью инструментов URL Fuzzer и Password Auditor.

Чтобы сэкономить еще больше драгоценного времени, попробуйте наши готовые к использованию шаблоны сканирования и роботов для пентеста, которые объединяют несколько инструментов в один пакет, чтобы вы могли запускать их все одновременно. И шаблоны, и роботы для пентеста настраиваются и дают возможность создавать собственные многоразовые.

Инструменты для использования после запуска Scanner Scanner

  • . Recon
  • Сканеры веб-уязвимостей

    • Сканер уязвимостей веб-сайтов
    • Сканер XSS
    • Сканер SQLi
    • WordPress Scanner
    • Drupal Scanner
    • Joomla Scanner
    • SharePoint Scanner
  • Network Vulnerability Scanners

    • Network Vulnerability Scanner
    • SSL/TLS Scanner
    • DNS Zone Transfer
  • Offensive Tools

    • Sniper: Auto-Exploiter
    • Password Auditor
    • URL Fuzzer
    • SQLi Exploiter
    • XSS Exploiter
    • HTTP Request Logger
    • Захват субдомена
  • Непревзойденная простота и легкость

    Pentest-Tools. com — первое решение моей команды.

    Каждый раз, когда мы готовимся к развертыванию новой версии нашего программного обеспечения, мы запускаем множество инструментов для мониторинга и защиты нашей среды, но простота и легкость, которую мы имеем с Pentest-Tools.com для запуска сканирования сети и веб-сервера для выявления проблем не имеет себе равных.

    Майкл Дорнан

    Генеральный директор @ Tili Group

    Список изменений

    Последние обновления

    • Повышение скорости сканера веб-сайтов

      Сканер веб-сайтов теперь значительно улучшен (до 60%) за счет распараллеливания активных детекторов.

    • Тег «Не подтверждено» для результатов сканирования веб-сайтов

    • Обнаружение SSTI в сканере веб-сайтов

      Мы добавили в сканер веб-сайтов возможность обнаружения внедрения шаблонов на стороне сервера.

    • Обнаружение неправильной конфигурации CORS в сканере веб-сайтов

      Мы добавили в сканер веб-сайтов возможность обнаруживать опасные конфигурации совместного использования ресурсов между источниками (CORS).

    • Обнаружение CVE-2021-44228 в сканере веб-сайтов (Log4shell — RCE в Log4j)

      Сканер веб-сайтов теперь может обнаруживать уязвимость Apache Log4j (CVE-2021-44228).

    • Обнаружение внедрения кода Ruby в сканер веб-сайтов

      Мы добавили обнаружение внедрения кода Ruby в полное сканирование веб-сайтов.

    Читайте обо всех изменениях в нашем журнале изменений

    Часто задаваемые вопросы

    Общие вопросы о сканере уязвимостей веб-сайта

    Сканирование уязвимостей — это деятельность, при которой специалисты активно ищут уязвимости в веб-приложениях и сетях и рекомендуют исправления, чтобы предотвратить их использование злоумышленниками.

    Специалисты по безопасности и ИТ используют программное обеспечение для автоматизированного тестирования для выявления недостатков безопасности и неправильных конфигураций, которые делают веб-приложения и сети уязвимыми для злоумышленников. Основываясь на выводах, которые предоставляют эти наступательные инструменты безопасности, они отображают все точки входа, которые могут использовать злоумышленники, и определяют их приоритетность в зависимости от уровня риска и потенциального влияния на бизнес.

    Сканирование уязвимостей является частью цикла управления уязвимостями, который также включает применение корректирующих действий, оценку их состояния и постоянный мониторинг активов организации.

    Получите свой арсенал инструментов пентестинга с мощными возможностями автоматизации, создания отчетов, управления уязвимостями и совместной работы.

    Начало работы

    Сканер XSS — онлайн-сканирование на наличие уязвимостей межсайтового скриптинга

    Перейти к основному содержанию

    Тестирование веб-приложений

    Проверить, уязвимо ли веб-приложение для межсайтового скриптинга. Этот инструмент ранее использовал OWASP ZAP , но теперь он использует наш собственный запатентованный механизм сканирования.

    Попробуйте Облегченную версию нашего сканера или зарегистрируйте учетную запись Pro, чтобы выполнять углубленное сканирование XSS и обнаруживать уязвимости с высоким риском.

    Образец отчета Примеры использования Технические детали

    Отчетность

    Вот пример отчета нашего сканера XSS, который дает вам представление о том, как наши инструменты экономят ваше время и сокращают повторяющуюся ручную работу.

    Загрузить образец отчета

    Как использовать инструмент для пентестинга

    Этот сканер, работающий на основе проприетарного механизма сканирования Pentest-Tools.com (ранее на основе OWASP ZAP), помогает вам проверить, не влияет ли межсайтовое взаимодействие на целевое веб-приложение Скриптовые уязвимости.

    • Тестирование на проникновение через веб-сайт

      Ускорьте пентест с помощью этого онлайн-сканера. Он уже установлен и настроен с оптимальными настройками для достижения наилучших результатов и производительности. Просто запустите сканирование и получите уведомление, когда результаты будут готовы.

    • Самостоятельная оценка безопасности

      Оцените безопасность собственного приложения для выявления слабых мест. Получите четкие и простые рекомендации по устранению веб-уязвимостей до того, как ими воспользуются настоящие злоумышленники.

    • Аудит сторонних веб-сайтов

      Если вы занимаетесь веб-разработкой, вы можете использовать этот отчет, чтобы доказать своим клиентам, что вы приняли надлежащие меры безопасности в их веб-приложениях.

    Получите мгновенный доступ к настраиваемым сканерам уязвимостей и функциям автоматизации, которые упрощают процесс пентестинга и дают ценные результаты. Платформа помогает вам охватить все этапы взаимодействия, от сбора информации до сканирования веб-сайтов, сканирования сети, эксплуатации и отчетности.

    Создайте учетную запись

    Сканер XSS

    О

    Межсайтовый скриптинг (XSS) — одна из самых известных уязвимостей веб-приложений. Ей даже посвящена отдельная глава в проекте OWASP Top 10, и эта уязвимость активно преследуется в программах вознаграждения за обнаружение ошибок.

    Риск уязвимости межсайтового скриптинга может варьироваться от кражи файлов cookie, временного искажения веб-сайта, внедрения вредоносных сценариев или чтения конфиденциального содержимого страницы пользователя-жертвы.

    Сканер работает в два этапа:

    1. Spider the target : На этом первом этапе инструмент пытается идентифицировать все страницы в веб-приложении, включая вводимые параметры в формах, URL-адреса, заголовки и т. д.
    2. Тест для XSS : Для каждой страницы, обнаруженной на предыдущем шаге, сканер попытается определить, уязвимы ли параметры для межсайтового скриптинга, и сообщит об этом на странице результатов.

    В таблице ниже показаны различия между Облегченным сканированием и Полным сканированием:

    Scanner capabilities

    Light scan

    Full scan

    Spider max URLs 20 500
    Spider max duration 1 minute 15 минут
    Максимальная продолжительность активного сканирования 2 минуты 30 минут

    Предупреждение

    Сканер XSS генерирует HTTP-запросы, которые можно пометить как атаки на стороне сервера (хотя они и безопасны для сервера). Не используйте его, если у вас нет надлежащего разрешения от владельца целевого веб-сайта.

    Параметры

    Параметр

    ОПИСАНИЕ

    url 9014
    . Все URL-адреса должны начинаться с http или https.
    Облегченное сканирование Это сканирование выполняется быстрее, но менее полно, чем полное сканирование.
    Полное сканирование Это полная оценка межсайтового скриптинга целевого веб-приложения.

    Как это работает

    Сканер XSS использовал механизм сканирования OWASP ZAP (один из самых популярных в мире инструментов безопасности с открытым исходным кодом, активно поддерживаемый сотнями международных разработчиков). Тем не менее, мы улучшили его, и теперь мы используем проприетарный внутренний механизм сканирования для сканера XSS, в ваших интересах.

    Инструмент обнаруживает XSS-уязвимости с помощью ряда запросов. Сначала сканер вставляет простую строку в тестируемый параметр и проверяет, отражается ли она на странице ответа. Если параметр отражен, то сканер внедрит фрагмент кода JavaScript, включая некоторые специальные символы HTML ( > , < , " , ' ) и попытается проверить, возвращаются ли они на странице ответа без очистки. Если это так, страница и параметр объявляются уязвимыми.

    Подробнее информацию о межсайтовом скриптинге и о том, как устранить эту уязвимость, на специальной странице OWASP XSS

    Получите свой арсенал инструментов пентестинга с мощными возможностями автоматизации, создания отчетов, управления уязвимостями и совместной работы.

    Начало работы

    13 бесплатных онлайн-инструментов для сканирования уязвимостей безопасности веб-сайтов и вредоносных программ

    Сканирование вашего веб-сайта, блога на наличие уязвимостей в системе безопасности, вредоносных программ, троянов, вирусов и онлайн-угроз

    Одной из самых популярных тем в области информационных технологий является веб-безопасность. Сегодня существуют сотни веб-уязвимостей, и ниже приведены некоторые из наиболее распространенных.

    Мы часто обращаем внимание на дизайн веб-сайта, SEO и контент и недооцениваем область безопасности. Как владелец веб-сайта, веб-безопасность должна иметь большее значение, чем что-либо еще.

    Было много вопросов о том, как сканировать безопасность веб-сайтов и уязвимости мобильных приложений, так что вот. В этой статье будут перечислены некоторые из лучших инструментов для сканирования вашего сайта на наличие уязвимостей в системе безопасности, вредоносных программ и онлайн-угроз.

    SUCURI

    SUCURI — один из самых популярных бесплатных сканеров вредоносных программ и средств защиты веб-сайтов. Вы можете выполнить быстрый тест на вредоносное ПО, статус в черном списке, внедренный СПАМ и искажения.

    SUCURI также помогает очистить и защитить ваш веб-сайт от онлайн-угроз и работает на любой платформе веб-сайта, включая WordPress, Joomla, Magento, Drupal, phpBB и т. д.

    Qualys

    Проверка SSL-сервера от Qualys необходима для сканирования вашего веб-сайта на предмет неправильной конфигурации и уязвимостей SSL/TLS. Он обеспечивает углубленный анализ вашего URL-адреса https:// , включая дату истечения срока действия, общий рейтинг, шифр, версию SSL/TLS, моделирование рукопожатия, сведения о протоколе, BEAST и многое другое.

    Рекомендуется запускать тест Qualys после внесения любых изменений, связанных с SSL/TLS.

    HostedScan Security

    HostedScan Security — это онлайн-сервис, который автоматизирует поиск уязвимостей для любого бизнеса. Он предоставляет полный набор сканеров для сканирования сетей, серверов и веб-сайтов на наличие угроз безопасности. Управляйте своими рисками с помощью информационных панелей, отчетов и предупреждений.

    Сканеры включают:

    • Сканер сетевых уязвимостей для проверки на наличие CVE и уязвимого устаревшего программного обеспечения
    • Сканер веб-приложений для проверки на наличие SQL-инъекций, уязвимых библиотек javascript, межсайтовых сценариев и т. д.
    • Полный Сканер портов TCP и UDP для обнаружения неправильной конфигурации брандмауэра и сети
    • Сканер TLS/SSL для проверки сертификатов и тестирования на наличие уязвимостей SSL, таких как Heartbleed и Robot

    HostedScan Security предлагает бесплатный уровень 10 сканирований в месяц, что делает его простым и легким чтобы приступить к сканированию и обеспечению безопасности вашего бизнеса.

    Intruder

    Intruder — это мощный облачный сканер уязвимостей для поиска уязвимостей во всей инфраструктуре веб-приложений. Он готов к корпоративному использованию и предлагает механизм сканирования безопасности на уровне правительства и банка без каких-либо сложностей.

    Надежные проверки безопасности включают выявление:

    • Отсутствующих исправлений
    • Неправильных конфигураций
    • Проблемы веб-приложений, такие как внедрение SQL и межсайтовые сценарии
    • Проблемы CMS

    Intruder экономит ваше время, приоритизируя результаты на основе их контекста и проактивно сканируя ваши системы на наличие последних уязвимостей. Он также интегрируется с основными облачными провайдерами (AWS, GCP, Azure) и Slack & Jira.

    Вы можете бесплатно попробовать Intruder в течение 30 дней.

    Quttera

    Quttera проверяет веб-сайт на наличие вредоносных программ и уязвимостей.

    Сканирует ваш веб-сайт на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, PhishTank, безопасного просмотра (Google, Яндекс) и списка доменов вредоносных программ.

    UpGuard

    UpGuard Web Scan — это внешний инструмент оценки рисков, который использует общедоступную информацию для оценки.

    Результаты испытаний подразделяются на следующие группы.

    • Риски веб-сайта
    • Риски электронной почты
    • Сетевая безопасность
    • Фишинг и вредоносное ПО
    • Защита бренда

    Хорошо, если вы хотите быстро обеспечить безопасность своего веб-сайта.

    SiteGuarding

    SiteGuarding помогает сканировать ваш домен на наличие вредоносных программ, занесения веб-сайтов в черный список, спама, порчи и многого другого. Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.

    SiteGuarding также поможет вам удалить вредоносное ПО с вашего сайта, поэтому, если ваш сайт заражен вирусами, они будут вам полезны.

    Обсерватория

    Mozilla недавно представила обсерваторию, которая помогает владельцу сайта проверять различные элементы безопасности. Он проверяет безопасность заголовков OWASP, лучшие практики TLS и выполняет сторонние тесты от SSL Labs, High-Tech Bridge, заголовков безопасности, предварительной загрузки HSTS и т. д. - один инструмент безопасности, подходящий для сканирования веб-приложений. Он может искать уязвимости и проблемы с конфиденциальностью в файлах cookie HTTP, апплетах Flash, HTML5 localStorage, sessionStorage, Supercookies и Evercookies. Инструмент также предлагает бесплатный сканер URL-адресов вредоносных программ и сканер уязвимостей HTTP, HTML и SSL/TLS.

    Чтобы использовать этот инструмент, вам нужно ввести полное доменное имя вашего сайта и нажать «Проверить!». Через некоторое время вы получите полный отчет об уязвимостях с подробной информацией обо всех обнаруженных проблемах и общей оценкой воздействия на конфиденциальность.

    Вы можете пользоваться услугой по запросу бесплатно без ограничений или подписаться на бесплатную пробную версию полностью автоматизированного RESTful API с различными планами, которые предлагают от 100 до неограниченного количества сканирований API в месяц.

    Detectify

    Служба безопасности доменов и веб-приложений Detectify, полностью поддерживаемая этическими хакерами, предлагает автоматизированную защиту и мониторинг ресурсов для обнаружения более 1500 уязвимостей.

    Возможности сканирования уязвимостей включают OWASP Top 10, CORS, Amazon S3 Bucket и неверные настройки DNS. Служба мониторинга активов постоянно отслеживает поддомены, ищет случаи недружественного поглощения и предупреждает об обнаружении аномалий.

    Detectify предлагает три тарифных плана: Starter, Professional и Enterprise. Все они начинаются с 14-дневной бесплатной пробной версии, которую вы можете использовать без использования кредитной карты.

    Probely

    Probely предоставляет виртуального специалиста по безопасности, которого вы можете добавить в свою команду разработчиков, группу безопасности, DevOps или бизнес SaaS. Этот специалист по безопасности просканирует ваше веб-приложение и найдет все его уязвимости. Вы можете думать о Probely как о семейном докторе, который периодически проводит диагностику и говорит, что делать, чтобы решить любую проблему.

    Этот инструмент в основном создан для разработчиков, позволяя им быть более независимыми, когда дело доходит до тестирования безопасности. Его подход к разработке API-First гарантирует, что любые функции будут сначала доступны в версии API сервиса. У него есть много тарифных планов, в том числе бесплатный с небольшой емкостью сканирования.

    Pentest-Tools

    Сканер уязвимостей веб-сайтов — это полный набор инструментов, предлагаемых Pentest-Tools, которые включают решение для сбора информации, тестирования веб-приложений, тестирования CMS, тестирования инфраструктуры и тестирования SSL. В частности, сканер веб-сайтов предназначен для обнаружения распространенных уязвимостей веб-приложений и проблем с конфигурацией сервера.

    Компания предлагает облегченную версию инструмента, который выполняет пассивное сканирование веб-безопасности. Он может обнаруживать множество уязвимостей, в том числе небезопасные настройки файлов cookie, небезопасные заголовки HTTP и устаревшее серверное программное обеспечение. Вы можете выполнить до 2 бесплатных полных сканирований своего веб-сайта, чтобы получить всестороннюю оценку. Результаты расскажут вам об уязвимостях, таких как включение локальных файлов, внедрение SQL, внедрение команд ОС и XSS, среди прочих.

    ImmuniWeb

    Один из популярных сканеров безопасности веб-сайтов, ImmuniWeb, проверяет ваш сайт на соответствие следующим стандартам.

    • Соответствие требованиям PCI DSS и GDPR
    • Заголовки HTTP, включая CSP
    • Специфический тест CMS для сайтов WordPress и Drupal
    • Уязвимости внешней библиотеки Сканер безопасности WordPress.