Содержание

21 сервис быстрой проверки безопасности сайта

Сравнительный анализ сервисов оценки безопасности веб-сайтов

Как быстро понять, насколько уязвим ваш веб-сайт? Легко ли его взломать? А может, он уже взломан?

В общем случае, точные и полные ответы на эти вопросы даются непросто. Вам нужен пентест, который займёт не менее 1 недели и 1500 долларов. Либо расследование инцидента, если он уже очевиден. Например, произошёл дефейс или блокирование сайта, утечка информации и т.д.

А что если нужно заранее понять, насколько всё может быть плохо, но при этом не потратить много сил и времени? Например, для того, чтобы просто получить “пёрышко на чаше весов”, которое нарушит равновесие и ликвидирует последние сомнения о необходимости отложить публикацию сайта и поработать ещё пару недель над его безопасностью. Или чтобы попытаться самостоятельно найти крупную дыру, через которую уже произошёл взлом опубликованного сайта.

Самый быстрый и простой способ – просканировать сайт на уязвимости и другие проблемы безопасности. Для этого нужно воспользоваться сервисами, которые мы описали в нашем обзоре онлайн-инструментов анализа безопасности сайтов.

Введение

Целью данного обзора не является определение самых функциональных и точных сканеров, предоставляющих максимум информации, а определение сканеров, оптимальных для быстрых задач оценки безопасности неспециалистами по безопасности.

Поэтому в ходе обзора мы оценивали следующий набор параметров: возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и количество бесплатного функционала.

Обзор мы разделили на три части (“весовые категории” или “лиги”):

  • 16 универсальных сканеров безопасности веб-сайтов.
  • 4 узкоспециализированных сканера безопасности веб-сайтов на платформе CMS WordPress. Эта платформа была наиболее популярной платформой построения веб-сайтов на протяжении последних 10 лет, и остаётся наиболее востребованной в 2021 году.
  • 1 полезный сервис оценки безопасности, включённый в бонусную категорию.

Сервисы оценки безопасности мы упорядочили по их названиям в алфавитном порядке.

Универсальные сканеры безопасности веб-сайтов

1. Acunetix

Классический коммерческий сканер уязвимостей веб-сайтов. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик. Процесс получения временной бесплатной версии сложен. Бесплатное использование на протяжении 14 дней. Сервис даёт полезные результаты.

2. Detectify

Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, и работает бесплатно только 14 дней. Сканер достаточно сложен в использовании, хотя в сегменте коммерческих сканеров встречаются и более сложные продукты. Цены Detectify практически не отстают от уровня мировых лидеров рынка. Сканирование работает медленно, несколько часов, и даёт приличное количество результатов.

3. H-X Scanner

Бесплатный онлайн-сканер уязвимостей. Работает с 2016 года и имеет два режима: быстрый и нормальный. Сервис достаточно прост в использовании и не требует регистрации. Нужно ввести адрес вашего сайта и адрес электронной почты для получения отчёта о безопасности. В быстром режиме первые результаты можно получить в реальном времени в течение нескольких секунд после запуска. Весь процесс сканирования в быстром режиме занимает 5 минут. В нормальном режиме не нужно держать сайт сканера открытым. Отчёты о сканировании приходят на емайл. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объёма сайта. В нормальном режиме отчёт весьма удобный. Он содержит резюме и подробности в табличном виде. Предусмотрен функционал ручной верификации уязвимостей. Общий вывод – очень удобный сервис с относительно подробными отчётами, пригодными для глубокого ручного анализа и обработки.

4. ImmuniWeb

Компания ImmuniWeb активно развивается на рынке профессиональных решений по информационной безопасности. Веб-сайт этой компании и её бесплатный сервис оценки безопасности веб-сайтов имеют простой, удобный и весьма продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Сервис работает не очень быстро, но предоставляет очень удобные и наглядные результаты.

5. Intruder

Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней. Работает довольно медленно и предоставляет не много результатов.

6. Netsparker Cloud

Один из классических коммерческих сканеров. Конкурент Acunetix, что особенно заметно в процессе получения пробной бесплатной версии, которая действует также только 14 дней. Требует непростую корпоративную регистрацию. Сервис предоставляет относительно много результатов, и даёт ложные срабатывания.

7. Norton Safe Web

Сервис от знаменитого антивируса лишний раз доказывает, что антивирусные компании сравнительно плохо справляются с оценкой безопасности веб-сайтов. Несмотря на то, что сканер бесплатный и легко запускается, он не даёт никаких результатов, если только ваш сайт уже не находится в базе данных сервиса. Попадание сайта в эту базу данных – непростая задача.

8. Observatory

Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов выяснить состояние их безопасности. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т. д. Функционал несколько ограничен, но инструмент, несомненно, достойный.

9. Pentest-Tools

Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет сильно ограниченные результаты. Сайт рекламирует платные проверки с богатым функционалом.

10. Probely

Этот платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования 14 дней. Регистрация и использование не сложные. Сервис Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, но в бесплатном режиме выдаёт весьма ограниченное количество результатов.

11. Quttera

Этот бесплатный инструмент в некоторой мере аналогичен сканеру Sucuri, описанному ниже, и даёт немного больше результатов. Он работает немного дольше, хотя в целом довольно быстро – несколько десятков секунд. Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, на наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и в списках вредоносных программ. Практически все сканеры уязвимостей время от времени дают ложные срабатывания, заявляя о проблемах безопасности там, где их реально нет. Но Quterra делает это весьма безапелляционно и навязчиво, сразу же предлагая купить их услуги по устранению проблем. Например, этот сервис ругается на несуществующую угрозу “Malicious obfuscated JavaScript threat”. Такое поведение подрывает доверие к этому инструменту.

12. Sucuri SiteCheck

Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал – проверяет присутствие сайта в списках безопасного просмотра (Google, Yandex и т. д.) и в чёрных списках, проверяет наличие файрвола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков. Сканер ошибается с определением CMS, а также оценивает безопасность таких сайтов как, например, facebook.com или microsoft.com, на уровне medium risk. Это является заведомо недостоверным завышенным значением риска. В целом, сервис работает очень быстро, несколько секунд, но и информации даёт очень мало.

13. SiteGuarding

Сервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т. д. Сканер декларирует, что распознаёт WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы. Запускается умеренно сложно, регистрации не требует. Работает недолго, но результаты очень ограничены. Сложная навигация, сложный интерфейс, навязчивая реклама.

14. Tinfoil Security

Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.

15. UpGuard Scan

Этот платный инструмент выполняет оценку рисков. Он использует информацию о различных параметрах сайта. Процесс регистрации сложный. Пробная бесплатная версия действительна 7 дней.

16. VirusTotal

Знаменитый агрегатор антивирусов, который был приобретён компанией Google, имеет также функцию агрегации чёрных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдаёт результаты. Однако, по определению, полнота такой проверки ограничена, поскольку сервис не проверяет уязвимости сайта. Соответственно, сервис не даёт гарантий безопасности сайта.

Сканеры безопасности сайтов на базе WordPress

17. IsItWP Security Scanner

Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) низкая скорость работы, 2) функционал сканера ограничен только некоторыми проверками (в основном, на известное вредоносное ПО). Сайт поставщика рекламирует дополнительные сервисы по защите сайтов WordPress и описывает шаги по реагированию на инциденты безопасности. В целом, сервис оставляет впечатление сырого, и шансов получить от него полезную информацию мало.

18. Web Inspector

Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы. Регистрация, сравнительно с другими сервисами, не просто сложная, а очень сложная, так как требуется введение данных платёжной карты.

19. Wprecon

Сканер Wprecon для сайтов WordPress бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.

20. WPsec

Сканер сайтов на WordPress с ограниченной бесплатной версией. Он настойчиво рекомендует купить премиальную учётную запись. Сервис требует регистрацию и прост в использовании, но есть неудобства вроде операций с паролем входа в сервис. WPsec использует распространённый бесплатный движок WPscan. Этот движок является сканером уязвимостей, работающим в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности. Также этот движок известен тем, что он даёт большое количество ложных срабатываний. Сервис WPsec, несмотря на красивый интерфейс, медленный и в целом разочаровывает.

Бонус

21. Google Safe Browsing

Собственно, данный сервис не является сканером, а просто интерфейсом к “чёрному списку” Google. То есть, к базе данных, содержащей списки вредоносных сайтов. Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. По какой-либо причине вам может оказаться нужно обратиться к оригинальному сервису и не использовать сервисы посредников. Сервис интегрирован с Google Search Console, что достаточно удобно. Если вдруг ваш сайт окажется в чёрном списке, вы получите подробные инструкции о том, как удалить сайт оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр. Однако, поскольку не проверяет сайты на уязвимости, то малофункционален по сравнению с другими сервисами в нашем обзоре.

Сравнительный анализ

Напомним, что нашей целью было выявление быстрых, удобных, бесплатных онлайн-инструментов для анализа безопасности веб-сайтов. Сервисы со сложной регистрацией, сложным интерфейсом, медленные, дающие ограниченные результаты и тому подобные сканеры теряли очки при подсчёте.

В таблице результатов 0 баллов означает “нет или почти нет”, 1 – “частично”, 2 – “да, полностью или почти полностью”. Чтобы получить итоговую оценку, мы просуммировали первые 4 параметра оценки, затем результат умножили на оценку количества бесплатного функционала.

В лиге универсальных сканеров наш рейтинг выглядит следующим образом:

Сканервоз­мож­ность бес­плат­но­го ис­поль­зо­ва­нияпрос­то­та ис­поль­зо­ва­нияот­сут­ствие ре­гис­тра­цииско­рость на­хож­де­ния проб­лемко­ли­чес­тво бес­плат­но­го фун­кци­о­на­лаИто­го­вая оцен­ка
H-X Scanner2221214
ImmuniWeb2221214
Norton Safe Web222218
Observatory222218
Sucuri SiteCheck222218
VirusTotal222218
Quttera122217
Acunetix100226
SiteGuarding112216
Pentest-Tools111215
Probely120215
Netsparker Cloud110214
Tinfoil Seurity110113
Detectify100022
Intruder100112
UpGuard Scan100112

Таким образом, для быстрых задач оценки безопасности веб-сайтов мы рекомендуем пользоваться инструментами H-X Scanner и ImmuniWeb, которые обогнали конкурентов по рассматриваемому набору параметров.

В лиге сканеров безопасности WordPress рейтинг получился такой:

Сканервоз­мож­ность бес­плат­но­го ис­поль­зо­ва­нияпрос­то­та ис­поль­зо­ва­нияот­сут­ствие ре­гис­тра­цииско­рость на­хож­де­ния проб­лемко­ли­чес­тво бес­плат­но­го фун­кци­о­на­лаИто­го­вая оцен­ка
Wprecon222218
IsItWP Security Scanner222016
WPsec120013
Web Inspector100112

Получается, что сервис Wprecon выглядит наиболее полезным и удобным для проверки безопасности сайта на основе Вордпресс.

Заключение

Мы провели обзор 21 современного инструмента для бесплатной, быстрой, удобной оценки безопасности веб-сайтов в интерактивном режиме, а также сравнительный анализ 20 инструментов.

Таким образом, вне зависимости от того, какой у вас веб-сайт, если вы не хотите тратить много времени на анализ его безопасности, мы рекомендуем использование сервисов H-X Scanner и ImmuniWeb.

Если ваш сайт построен на платформе системы управления содержимым WordPress, дополнительно рекомендуем проверить сайт с помощью сервиса Wprecon.

Поиск уязвимостей на сайте — 12 лучших бесплатных инструментов

Одним из наиболее важных вопросов в области информационных технологий является безопасность. Знаете ли вы, что 96% тестируемых приложений имеют уязвимости?

Ниже приведена диаграмма от Cenzic, на которой показаны различные типы найденных уязвимостей.

В этой статье я расскажу о бесплатных инструментах, позволяющих осуществить поиск уязвимостей на сайте, а также проверить его на наличие вредоносных программ.

Список рассматрива емых инструментов:

  • Scan My Server;
  • SUCURI;
  • Qualys SSL Labs, Qualys FreeScan;
  • Quttera;
  • Detectify;
  • SiteGuarding;
  • Web Inspector;
  • Acunetix;
  • Asafa Web;
  • Netsparker Cloud;
  • UpGuard Web Scan;
  • Tinfoil Security.
  • Scan My Server
  • SUCURI
  • Qualys SSL Labs, Qualys FreeScan
  • Quttera
  • Detectify
  • SiteGuarding
  • Web Inspector
  • Acunetix
  • Asafa Web
  • Netsparker Cloud
  • UpGuard Web Scan
  • Tinfoil Security

Сканер сайта онлайн ScanMyServer предоставляет один из самых полных отчетов по тестам безопасности: SQL-инъекциям, межсайтовому скриптингу, инъекциям PHP-кода, раскрытию источника, установке HTTP-заголовков и многое другое.

Отчет о проверке отправляется по электронной почте с кратким описанием найденных уязвимостей.

SUCURI является самым популярным бесплатным сканером вредоносных программ. Вы можете быстро проверить сайт на уязвимости онлайн, наличие вредоносного кода, SPAM-инъекций и его присутствие в различных черных списках.

SUCURI также очищает и защищает сайт от онлайн-угроз. Инструмент работает на любых CMS, включая WordPress, Joomla, Magento, Drupal, phpBB и т. д.

SSL Labs является одним из популярных инструментов для сканирования веб-сервера SSL. Он обеспечивает углубленный анализ https URL-адреса, общий рейтинг, шифр, версию SSL / TLS, имитацию рукопожатий, информацию о протоколе, BEAST и многое другое.

FreeScan проверяет сайты на OWASP Top Risks и вредоносные программы, по параметрам безопасности SCP, а также выполняет другие тесты. Чтобы выполнить сканирование, необходимо зарегистрировать бесплатную учетную запись.

Quttera проверяет сайт на наличие вредоносных программ и уязвимостей.

Этот инструмент позволяет провести проверку сайта на уязвимости онлайн на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, phishTank, а также присутствие в списках безопасного просмотра (Google, Yandex) и списках вредоносных программ.

Detectify — это сканер сайта, основанный на SaaS. Он позволяет проводить более 100 автоматических тестов безопасности, включая тест OWASP Top 10, наличие вредоносного программного обеспечения и многие другие.

Detectify предоставляет 21-дневную бесплатную ознакомительную версию.

SiteGuarding позволяет проверить домен на наличие вредоносного программного обеспечения, присутствия в черных списках, инъекций спама и многого другого.

Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.

SiteGuarding также помогает удалить вредоносное программное обеспечение с сайта.

Web Inspector сканирует сайт и предоставляет отчеты — «черный список», «фишинг», «вредоносные программы», «черви», «бэкдоры», «трояны», «подозрительные фреймы», «подозрительные подключения».

Acunetix проверяет весь сайт на наличие более 500 различных уязвимостей.

Инструмент предоставляет бесплатную пробную версию на 14 дней.

AsafaWeb предлагает сканирование трассировки, пользовательских ошибок, трассировки стека, патча Hash DoS, журнала EMLAH, HTTP Only Cookies, Secure Cookies, Clickjacking и многого другого.

Netsparker Cloud — это сканер безопасности корпоративных веб-приложений, который способен обнаружить более 25 критических уязвимостей. Он бесплатен для проектов с открытым исходным кодом. Также можно запросить пробную версию инструмента.

UpGuard Web Scan — это инструмент оценки внешних рисков, который использует общедоступную информацию по различным факторам, включая SSL, атаки Clickjack, Cookie, DNSSEC, заголовки и т. д. Он все еще находится на стадии бета-тестирования, но его стоит попробовать.

Tinfoil Security сначала проверяет сайт на наличие 10 уязвимостей OWASP, а затем на другие известные угрозы. В конечном итоге вы получите отчет о действиях и сможете повторно просканировать сайт после внесения необходимых исправлений.

Полная настройка займет около 5 минут. Просканировать сайт можно даже если он защищен или для входа на него требуется регистрация.

Одним из основных факторов безопасности любого сайта является постоянный контроль, поэтому вы получите уведомление, когда он дает сбой или подвергается взлому.

Перечисленные инструменты позволяют сканировать сайт по запросу и запланировать автоматическую проверку безопасности. Надеюсь, что приведенный список специализированных средств поможет вам выполнить проверку безопасности сайта.

Пожалуйста, оставляйте ваши комментарии по текущей теме материала. Мы очень благодарим вас за ваши комментарии, лайки, отклики, дизлайки, подписки!

Вадим Дворниковавтор-переводчик статьи «12 Online Free Tools to Scan Website Security Vulnerabilities & Malware»

Сканер уязвимостей сайта онлайн | Сканировать веб-приложение бесплатно

Что такое сканер уязвимостей веб-сайта?

Сканер веб-уязвимостей — это инструмент тестирования безопасности веб-сайтов, который автоматически обнаруживает бреши в безопасности и неправильные настройки в веб-приложениях и их компонентах. Его независимые от языка возможности делают его важным инструментом для обнаружения распространенных уязвимостей в веб-службах, веб-серверах, прокси-серверах и серверах веб-приложений.

Наша команда разработала сканер уязвимостей веб-сайта на сайте Pentest-Tools.com, чтобы предоставить специалистам по безопасности надежное, полноценное решение, предлагающее как варианты углубленного тестирования, так и дополнительные возможности автоматизации и отчетности.

Чем отличается наш сканер уязвимостей веб-сайтов

Вы можете использовать наш сканер уязвимостей веб-сайтов онлайн, не тратя время на ручную настройку сценариев. Список тестов, которые он выполняет, общедоступен, а параметры настройки позволяют вам полностью контролировать его функциональность.

Наряду с мощными возможностями создания отчетов и мощными функциями автоматизации наш сканер уязвимостей веб-сайтов является мощным инструментом для динамического тестирования безопасности приложений (DAST) и статического тестирования безопасности приложений (SAST).

Клиенты также интегрируют наш сканер веб-сайтов в свой процесс безопасного жизненного цикла разработки программного обеспечения (SDLC), особенно через наш API, а также посредством запланированных и массовых сканирований.

Сканер веб-сайтов Выводы, автоматически проверенные нашим сканером, отмечены тегом Подтверждено. Результаты также включают снимки экрана и статистику сканирования , такую ​​как просмотренные URL-адреса, общее количество HTTP-запросов, количество ошибок и другие полезные сведения.

Как работает наш сканер уязвимостей веб-сайтов

При использовании онлайн-сканера уязвимостей веб-сайтов цель состоит в том, чтобы перевести как можно больше рутинных задач в фоновый режим. Вы можете использовать наш сканер уязвимостей веб-сайтов отдельно или для более глубокого изучения поддоменов и виртуальных хостов, а также открытых портов, обнаруженных сканером портов TCP и инструментом сканирования портов UDP на этапе разведки.

Какую бы тактику вы ни предпочли, этот инструмент поможет вам свести к минимуму рутинные задачи и выиграть время, чтобы использовать свой уникальный опыт для установления связей, на которые способен только опытный специалист.

Версия Light Scan – оптимизирована для скорости

Вы можете использовать наш инструмент в качестве бесплатного сканера уязвимостей веб-сайтов без создания учетной записи. Это пассивное сканирование выполняет только выборку законных запросов к целевой системе и генерирует максимум 20 HTTP-запросов к серверу.

Используйте легкое сканирование, если вы не хотите поднимать тревогу, но помните, что оно только царапает поверхность с точки зрения тестирования безопасности.

Полная версия сканирования — собственное обнаружение

Полное сканирование подробно описывает всю поверхность атаки целевой системы путем обхода приложения, обнаружения скрытых файлов, использования дополнительных векторов атаки для проверки на наличие проблем с конфигурацией сервера и устаревших служб, создания снимков экрана и т. д.

Это сканирование безопасности веб-сайта отправляет до 10 000 HTTP-запросов, которые могут вызывать сигналы тревоги от устройств IDS (система обнаружения вторжений). Однако не беспокойтесь: это , а не деструктивное сканирование.

После обхода целевого приложения инструмент отправляет различные входные данные для параметров страниц и ищет определенные веб-уязвимости, такие как: внедрение SQL, межсайтовые сценарии, включение локальных файлов, внедрение команд ОС и многие другие. Сканер безопасности сайта также пытается обнаружить конфиденциальные файлы с сервера (например, файлы резервных копий, старые файлы, интерфейсы администратора, архивные файлы и т. д.).

Чтобы свести к минимуму количество ложных срабатываний, сканер уязвимостей веб-сайтов также включает метод обнаружения 404 страниц.

Широкие возможности настройки

За простым интерфейсом нашего сканера уязвимостей веб-сайтов скрывается надежный предварительно сконфигурированный и точно настроенный механизм, который работает в распределенной среде и может выполнять несколько параллельных сканирований .

Чтобы каждая проверка безопасности веб-сайта учитывалась, комбинируйте параметры сканирования для тщательной оценки. Параметры настройки включают в себя возможность:

  • установить настраиваемые ограничения на количество запросов в секунду к цели
  • выбрать из обширного списка начальных тестов , который включает обнаружение методов отладки HTTP и неправильных конфигураций CORS и пассивные проверки , которые включают обнаружение для Log4Shell, внедрения кода PHP, внедрения кода Python, внедрения кода Perl, внедрения кода Ruby, внедрения шаблона на стороне сервера (SSTI), нарушенной аутентификации, содержимого смешанного шифрования и многих других.

Используйте этот сканер веб-сайтов онлайн вместе с другими функциями нашей облачной платформы, чтобы еще больше расширить его возможности:

  • Параметры автоматизации, такие как роботы для пентеста и шаблоны сканирования
  • Веб-перехватчики для уведомлений в реальном времени
  • Плановые сканирования и массовое сканирование
  • Совместное использование рабочей области и элементов для эффективного сотрудничества
  • Поиск шаблонов и шаблонов отчетов

Сканер безопасности также получает обновления на регулярной основе, постоянно совершенствуясь благодаря новым функциям.

Сканирование с проверкой подлинности

Сканер уязвимостей веб-сайта на Pentest-Tools.com также позволяет сканировать целевое веб-приложение в качестве пользователя, прошедшего проверку подлинности. Вы можете настроить аутентификацию несколькими способами:

  • Аутентификация пользователя/пароля , когда сканер сначала пытается пройти аутентификацию по предоставленному URL-адресу для входа и получить действительный файл cookie сеанса. Этот файл cookie используется со всеми HTTP-запросами к серверу, выполняя сканирование с проверкой подлинности. Все, что вам нужно сделать, это проверить, прошла ли аутентификация успешно, прежде чем начать сканирование.
  • Cookie Authentication , где вы можете указать уже действительный файл cookie сеанса (или несколько), который отправляется с каждым HTTP-запросом на сервер. Вы должны сначала получить файл cookie сеанса, вручную войдя в целевое приложение с помощью веб-браузера и скопировав/вставив файл cookie из браузера в сканер.
  • Проверка подлинности заголовков , где вы можете указать настраиваемые заголовки HTTP, которые отправляются с каждым запросом целевому приложению. Вы можете использовать их для аутентификации (например, токены JWT, базовая аутентификация и т. д.) или для других конкретных функций приложения.
  • Записанная аутентификация , где вы можете записать шаги, необходимые для аутентификации в цели. Затем сканер использует эту запись для автоматического воспроизведения действий для получения действительного сеанса каждый раз, когда он обнаруживает, что требуется повторный вход в систему.

Полный список тестов сканера уязвимостей веб-сайтов

Легкое сканирование Полное сканирование Проведенные тесты
8 Включено0130 Included Fingerprint web server software
Included Included Analyze HTTP headers for security misconfiguration
Included Included Check the security of HTTP cookies
Included Included Проверить SSL-сертификат сервера
Включено Включено Проверить, не подвержено ли программное обеспечение сервера известным уязвимостям
включена, включенные Анализ роботов. txt для интересных URL -адресов
включены включены. )
Включено Включено Обнаружение проблем с конфигурацией сервера, таких как Список каталогов
Включено Включено Проверьте, включены ли HTTP -трек/трасса. для межсайтовых сценариев
Не включено Включено Проверка включения локального файла и включения удаленного файла
Not included Included Check for OS Command Injection
Not included Included Check for ASP Cookieless Cross-Site Scripting
Not included Included Check for Server Side Request Forgery
Не включено Включено Проверка на открытую переадресацию
Не включено Включено Проверка на внедрение кода PHP
Not included Included Check for JavaScript Code Injection
Not included Included Check for outdated JavaScript libraries
Not included Included Find administrative pages
Не включено Включено Проверка конфиденциальных файлов (архивы, резервные копии, сертификаты, хранилища ключей) на основе имени хоста и некоторых общих слов
Not included Included Attempt to find interesting files / functionality
Not included Included Check for information disclosure issues
Not included Included Weak Password Submission Method
Не включено Включено Представление учетных данных открытым текстом
Не включено Included Verify Domain Sources
Not included Included Check for commented code/debug messages
Not included Included Find Login Interfaces
Not included Included Сканирование конфиденциальных данных

Предупреждение

Полное сканирование создает сильный шум в сети. Большинство правильно настроенных IDS обнаружат это сканирование как атакующий трафик. Не используйте его, если у вас нет надлежащего разрешения от владельца целевого веб-сайта.

Параметры сканирования для платящих клиентов

Параметр Описание
Целевой URL-адрес 0 90 Инструмент не следует никаким перенаправлениям, поэтому будет сканироваться точный URL-адрес. Если вы хотите сканировать только определенный каталог или путь, вы можете добавить его в URL-адрес, например: http://www.mycompany.com/base_directory . Все URL должны начинаться с http или https .
Легкое сканирование Это быстрое, пассивное и ненавязчивое сканирование.
Полное сканирование Это полная оценка, которая охватывает гораздо более широкий спектр тестов безопасности.
Начальные тесты Отпечаток веб-сайта, уязвимости серверного программного обеспечения, Robots.txt, библиотеки JavaScript, сертификаты SSL/TLS, политики клиентского доступа, методы отладки HTTP, отсутствие файла Security.txt, неправильная конфигурация CORS, обнаружение ресурсов
Опции двигателя
  • Classic Spider — используется для сканирования классических веб-сайтов
  • SPA Spider — используется для сканирования веб-сайтов с одностраничными приложениями (тяжелый JavaScript); Этот конкретный параметр все еще находится в стадии бета-тестирования.
  • Ограничения — используется для контроля глубины сканирования и количества запросов в секунду
  • Исключенные URL-адреса — список URL-адресов, которые следует игнорировать при сканировании.
Варианты атаки
  • Активные проверки: — XSS, SQL-инъекция, Включение локального файла, Внедрение команд ОС, Подделка запроса на стороне сервера, Открытое перенаправление, Неверная аутентификация, Внедрение кода PHP, Внедрение кода JavaScript на стороне сервера, Внедрение кода Ruby, Внедрение кода Python, Внедрение кода Perl, Удаленное выполнение кода Log4j, Внедрение шаблона на стороне сервера, Удаленное выполнение кода ViewState;
  • Пассивные проверки: заголовков безопасности, безопасность файлов cookie, список каталогов, безопасная связь, метод отправки слабого пароля, код с комментариями/коды ошибок, отправка учетных данных открытым текстом, проверка источников домена, содержимое смешанного шифрования, сканирование конфиденциальных данных, поиск входа Интерфейсы 9Аутентификация на основе записи требуется
  • Аутентификация на основе форм — Учетные данные сканера для попытки аутентификации перед запуском сканирования
  • Аутентификация на основе файлов cookie — Действительный файл cookie сеанса, который будет использоваться сканером для проверки подлинности сканирования
  • Аутентификация заголовков — Пользовательские заголовки HTTP, которые также могут использоваться для аутентификации (например, токены JWT, базовая аутентификация и т. д.)
Уведомления Получайте уведомления, когда результаты сканирования соответствуют заданным вами условиям.

Узнайте, как настроить сканер веб-сайтов для достижения наилучших результатов.

Что делать после запуска сканера уязвимостей веб-сайта

Помимо сканера уязвимостей веб-сайта, у вас есть полный арсенал онлайн-инструментов для тестирования безопасности веб-сайта на Pentest-Tools.com для проведения тщательной и эффективной оценки уязвимости веб-сайта.

Вы можете использовать средство поиска поддоменов и специальные инструменты для поиска виртуальных хостов для каждого веб-приложения. Запуск сканера портов TCP и инструмента сканирования портов UDP поможет вам обнаружить все открытые порты, чтобы обеспечить полное покрытие во время оценки безопасности.

Если копнуть глубже, наши различные веб-сканеры CMS помогут вам обнаружить уязвимости WordPress, Drupal, Joomla и SharePoint. И вы можете дополнительно изучить все это с помощью инструментов URL Fuzzer и Password Auditor.

Чтобы сэкономить еще больше драгоценного времени, попробуйте наши готовые к использованию шаблоны сканирования и роботов для пентеста, которые объединяют несколько инструментов в один пакет, чтобы вы могли запускать их все одновременно. И шаблоны, и роботы для пентеста настраиваются и дают возможность создавать собственные многоразовые.

13 бесплатных онлайн-инструментов для сканирования уязвимостей безопасности веб-сайтов и вредоносных программ

Чандан Кумар в Безопасность | Последнее обновление: 20 ноября 2022 г.

Поделись на:

Сканер безопасности веб-приложений Invicti — единственное решение, обеспечивающее автоматическую проверку уязвимостей с помощью Proof-Based Scanning™.

Сканировать свой веб-сайт, блог на наличие уязвимостей в системе безопасности, вредоносных программ, троянов, вирусов и онлайн-угроз

Одной из самых популярных тем в области информационных технологий является веб-безопасность. Сегодня существуют сотни веб-уязвимостей, и ниже приведены некоторые из наиболее распространенных.

Мы часто обращаем внимание на дизайн веб-сайта, SEO и контент и недооцениваем область безопасности. Как владелец веб-сайта, веб-безопасность должна иметь большее значение, чем что-либо еще.

Было много вопросов о том, как сканировать безопасность веб-сайтов и уязвимости мобильных приложений, так что вот. В этой статье будут перечислены некоторые из лучших инструментов для сканирования вашего сайта на наличие уязвимостей в системе безопасности, вредоносных программ и онлайн-угроз.

SUCURI

SUCURI — один из самых популярных бесплатных сканеров вредоносных программ и средств проверки безопасности. Вы можете выполнить быстрый тест на вредоносное ПО, статус в черном списке, внедренный СПАМ и искажения.

SUCURI также помогает очистить и защитить ваш веб-сайт от онлайн-угроз и работает на любой платформе веб-сайта, включая WordPress, Joomla, Magento, Drupal, phpBB и т. д. Неправильная конфигурация и уязвимости SSL/TLS. Он обеспечивает углубленный анализ ваших https:// URL-адрес, включая дату истечения срока действия, общий рейтинг, шифр, версию SSL/TLS, симуляцию рукопожатия, сведения о протоколе, BEAST и многое другое.

Рекомендуется запускать тест Qualys после внесения любых изменений, связанных с SSL/TLS.

HostedScan Security

HostedScan Security — это онлайн-сервис, который автоматизирует поиск уязвимостей для любого бизнеса. Он предоставляет полный набор сканеров для сканирования сетей, серверов и веб-сайтов на наличие угроз безопасности. Управляйте своими рисками с помощью информационных панелей, отчетов и предупреждений.

Сканеры включают:

  • Сканер сетевых уязвимостей для проверки на наличие CVE и уязвимого устаревшего программного обеспечения
  • Сканер веб-приложений для проверки на наличие SQL-инъекций, уязвимых библиотек javascript, межсайтовых сценариев и т. д.
  • Полный Сканер портов TCP и UDP для обнаружения неправильной конфигурации брандмауэра и сети
  • Сканер TLS/SSL для проверки сертификатов и тестирования на наличие уязвимостей SSL, таких как Heartbleed и Robot

HostedScan Security предлагает 10 бесплатных сканирований в месяц, что делает его простым и легким чтобы приступить к сканированию и обеспечению безопасности вашего бизнеса.

Intruder

Intruder — это мощный облачный сканер уязвимостей для поиска уязвимостей во всей инфраструктуре веб-приложений. Он готов к корпоративному использованию и предлагает механизм сканирования безопасности на уровне правительства и банка без каких-либо сложностей.

Надежные проверки безопасности включают выявление:

  • Отсутствующих исправлений
  • Неправильных конфигураций
  • Проблемы веб-приложений, такие как внедрение SQL и межсайтовые сценарии
  • Проблемы CMS

Intruder экономит ваше время, приоритизируя результаты на основе их контекста и проактивно сканируя ваши системы на наличие последних уязвимостей. Он также интегрируется с основными облачными провайдерами (AWS, GCP, Azure) и Slack & Jira.

Вы можете бесплатно попробовать Intruder в течение 30 дней.

Quttera

Quttera проверяет веб-сайт на наличие вредоносных программ и уязвимостей.

Сканирует ваш веб-сайт на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, PhishTank, безопасного просмотра (Google, Яндекс) и списка доменов вредоносных программ.

UpGuard

UpGuard Web Scan — это внешний инструмент оценки рисков, который использует общедоступную информацию для оценки.

Результаты испытаний подразделяются на следующие группы.

  • Риски веб-сайта
  • Риски электронной почты
  • Сетевая безопасность
  • Фишинг и вредоносное ПО
  • Защита бренда

Хорошо, если вы хотите быстро обеспечить безопасность своего веб-сайта.

SiteGuarding

SiteGuarding помогает сканировать ваш домен на наличие вредоносных программ, занесения веб-сайтов в черный список, спама, порчи и многого другого. Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.

SiteGuarding также поможет вам удалить вредоносное ПО с вашего сайта, поэтому, если ваш сайт заражен вирусами, они будут вам полезны.

Обсерватория

Mozilla недавно представила обсерваторию, которая помогает владельцу сайта проверять различные элементы безопасности. Он проверяет безопасность заголовков OWASP, лучшие практики TLS и выполняет сторонние тесты от SSL Labs, High-Tech Bridge, заголовков безопасности, предварительной загрузки HSTS и т. д. — один инструмент безопасности, подходящий для сканирования веб-приложений. Он может искать уязвимости и проблемы с конфиденциальностью в файлах cookie HTTP, апплетах Flash, HTML5 localStorage, sessionStorage, Supercookies и Evercookies. Инструмент также предлагает бесплатный сканер URL-адресов вредоносных программ и сканер уязвимостей HTTP, HTML и SSL/TLS.

Чтобы использовать этот инструмент, вам нужно ввести полное доменное имя вашего сайта и нажать «Проверить!». Через некоторое время вы получите полный отчет об уязвимостях с подробной информацией обо всех обнаруженных проблемах и общей оценкой воздействия на конфиденциальность.

Вы можете пользоваться услугой по запросу бесплатно без ограничений или подписаться на бесплатную пробную версию полностью автоматизированного RESTful API с различными планами, которые предлагают от 100 до неограниченного количества сканирований API в месяц.

Detectify

Служба безопасности доменов и веб-приложений Detectify, полностью поддерживаемая этическими хакерами, предлагает автоматическую защиту и мониторинг активов для обнаружения более 1500 уязвимостей.

Возможности сканирования уязвимостей включают OWASP Top 10, CORS, Amazon S3 Bucket и неверные настройки DNS. Служба мониторинга активов постоянно отслеживает поддомены, ищет случаи недружественного поглощения и предупреждает об обнаружении аномалий.

Detectify предлагает три тарифных плана: Starter, Professional и Enterprise. Все они начинаются с 14-дневной бесплатной пробной версии, которую вы можете использовать без использования кредитной карты.

Probely

Probely предоставляет виртуального специалиста по безопасности, которого вы можете добавить в свою команду разработчиков, группу безопасности, DevOps или бизнес SaaS. Этот специалист по безопасности просканирует ваше веб-приложение и найдет все его уязвимости. Вы можете думать о Probely как о семейном докторе, который периодически проводит диагностику и говорит, что делать, чтобы решить любую проблему.

Этот инструмент в основном создан для разработчиков, позволяя им быть более независимыми, когда дело доходит до тестирования безопасности. Его подход к разработке API-First гарантирует, что любые функции будут сначала доступны в версии API сервиса. У него есть много тарифных планов, в том числе бесплатный с небольшой емкостью сканирования.

Pentest-Tools

Сканер уязвимостей веб-сайтов — это полный набор инструментов, предлагаемых Pentest-Tools, которые включают в себя решение для сбора информации, тестирования веб-приложений, тестирования CMS, тестирования инфраструктуры и тестирования SSL. В частности, сканер веб-сайтов предназначен для обнаружения распространенных уязвимостей веб-приложений и проблем с конфигурацией сервера.

Компания предлагает облегченную версию инструмента, который выполняет пассивное сканирование веб-безопасности. Он может обнаруживать множество уязвимостей, в том числе небезопасные настройки файлов cookie, небезопасные заголовки HTTP и устаревшее серверное программное обеспечение.

No related posts.