Тестирование сайта на уязвимости

Тестирование сайта на уязвимости

Одним из наиболее важных вопросов в области информационных технологий является безопасность. Знаете ли вы, что 96% тестируемых приложений имеют уязвимости?

Ниже приведена диаграмма от Cenzic, на которой показаны различные типы найденных уязвимостей.

В этой статье я расскажу о бесплатных инструментах для сканирования сайта на наличие уязвимостей и вредоносных программ.

Список рассматриваемых инструментов:

  • Scan My Server;
  • SUCURI;
  • Qualys SSL Labs, Qualys FreeScan;
  • Quttera;
  • Detectify;
  • SiteGuarding;
  • Web Inspector;
  • Acunetix;
  • Asafa Web;
  • Netsparker Cloud;
  • UpGuard Web Scan;
  • Tinfoil Security.

1. Scan My Server

ScanMyServer предоставляет один из самых полных отчетов по тестам безопасности: SQL-инъекциям, межсайтовому скриптингу, инъекциям PHP-кода, раскрытию источника, установке HTTP-заголовков и многое другое.

Отчет о проверке отправляется по электронной почте с кратким описанием найденных уязвимостей.

2. SUCURI

SUCURI является самым популярным бесплатным сканером вредоносных программ. Вы можете быстро протестировать сайт на наличие вредоносного кода, SPAM-инъекций и его присутствие в различных черных списках.

SUCURI также очищает и защищает сайт от онлайн-угроз. Инструмент работает на любых CMS, включая WordPress, Joomla, Magento, Drupal, phpBB и т. д.

3. Qualys SSL Labs, Qualys FreeScan

SSL Labs является одним из популярных инструментов для сканирования веб-сервера SSL. Он обеспечивает углубленный анализ https URL-адреса, общий рейтинг, шифр, версию SSL / TLS, имитацию рукопожатий, информацию о протоколе, BEAST и многое другое.

FreeScan проверяет сайты на OWASP Top Risks и вредоносные программы, по параметрам безопасности SCP, а также выполняет другие тесты. Чтобы выполнить сканирование, необходимо зарегистрировать бесплатную учетную запись.

4. Quttera

Quttera проверяет сайт на наличие вредоносных программ и уязвимостей.


Этот инструмент сканирует сайт на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, phishTank, а также присутствие в списках безопасного просмотра (Google, Yandex) и списках вредоносных программ.

5. Detectify

Detectify — это сканер сайта, основанный на SaaS. Он позволяет проводить более 100 автоматических тестов безопасности, включая тест OWASP Top 10, наличие вредоносного программного обеспечения и многие другие.

Detectify предоставляет 21-дневную бесплатную ознакомительную версию.

6. SiteGuarding

SiteGuarding позволяет проверить домен на наличие вредоносного программного обеспечения, присутствия в черных списках, инъекций спама и многого другого.

Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.

SiteGuarding также помогает удалить вредоносное программное обеспечение с сайта.

7. Web Inspector

Web Inspector сканирует сайт и предоставляет отчеты — «черный список», «фишинг», «вредоносные программы», «черви», «бэкдоры», «трояны», «подозрительные фреймы», «подозрительные подключения».

8. Acunetix

Acunetix проверяет весь сайт на наличие более 500 различных уязвимостей.

Инструмент предоставляет бесплатную пробную версию на 14 дней.

Читайте также:  Ubuntu запись видео с экрана

9. Asafa Web

AsafaWeb предлагает сканирование трассировки, пользовательских ошибок, трассировки стека, патча Hash DoS, журнала EMLAH, HTTP Only Cookies, Secure Cookies, Clickjacking и многого другого.

10. Netsparker Cloud

Netsparker Cloud — это сканер безопасности корпоративных веб-приложений, который способен обнаружить более 25 критических уязвимостей. Он бесплатен для проектов с открытым исходным кодом. Также можно запросить пробную версию инструмента.

11. UpGuard Web Scan

UpGuard Web Scan — это инструмент оценки внешних рисков, который использует общедоступную информацию по различным факторам, включая SSL, атаки Clickjack, Cookie, DNSSEC, заголовки и т. д. Он все еще находится на стадии бета-тестирования, но его стоит попробовать.

12. Tinfoil Security

Tinfoil Security сначала проверяет сайт на наличие 10 уязвимостей OWASP, а затем на другие известные угрозы. В конечном итоге вы получите отчет о действиях и сможете повторно просканировать сайт после внесения необходимых исправлений.

Полная настройка займет около 5 минут. Просканировать сайт можно даже если он защищен или для входа на него требуется регистрация.

Одним из основных факторов безопасности любого сайта является постоянный контроль, поэтому вы получите уведомление, когда он дает сбой или подвергается взлому.

Перечисленные инструменты позволяют сканировать сайт по запросу и запланировать автоматическую проверку безопасности. Надеюсь, что приведенный список специализированных средств поможет вам выполнить проверку безопасности сайта.

Данная публикация представляет собой перевод статьи « 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware » , подготовленной дружной командой проекта Интернет-технологии.ру

Введение

WordPress имеет много почитателей и много противников, главный аргумент которых — платформа слишком подвержена риску взлома, ее постоянно атакуют хакеры и боты.

Доля справедливости в их мнении есть — движок WordPress действительно имеет множество недочетов, которыми пользуются злоумышленники. Компания Sucuri рассказала , что в третьем квартале 2016 года 74% всех случаев уязвимости и заражения сайтов пришлись на сайты с CMS WordPress.

У многих после прочтения подобных новостей в голове начинают крутиться вопросы «А безопасная ли эта платформа? Стоит ли использовать ее на своем сайте?» Хотя на самом деле подумать нужно о другом — что можно сделать, чтобы сделать ваш сайт более защищенным?

Подходить к решению этой задачи можно только комплексно: стоит подумать о файерволе, защищающих, в том числе антивирусных плагинах и так далее. Однако стоит подумать о возможностях защиты и вне WordPress — онлайн-сканеры могут найти те бреши в вашем сайте, о которых вы даже не догадывались.

Ниже я расскажу о 7 полезных онлайн-сервисах — сканерах, которые помогут определить, если на вашем сайте:

  • несанкционированные перенаправления, рекламные материалы или бэклинки (внешние ссылки);
  • вредоносные программы;
  • хотлинки;
  • инфицированные плагины или темы;
  • и многое другое.
Читайте также:  Samsung xpress sl c480 xev отзывы

1 Hacker Target WordPress Security Scan

Этот сканер заточен специально под поиск проблемных элементов на WP сайте. Он анализирует темы и плагины, а также другие элементы сайта, которые могут содержать зловредный код.

Бесплатный анализ включает в себя проверки:

  • необходимости обновить версию WordPress;
  • необходимости обновить версию плагинов;
  • проблем с ID пользователя и так далее.

2 Scanurl

Ссылка : https://scanurl.net/

Это достаточно простой сканер, который расскажет о таких вещах:

  • пометил ли кто-нибудь ваш сайт как небезопасный;
  • пройдет ли сайт тест Google Safe Browsing ;
  • есть ли на вашем сайте файл PhishTank;
  • есть ли в Web of Trust негативные оценки вашего сайта.

Дополнительно сканер дает ссылки на ресурсы с другими сканерами безопасности.

3 Sucuri Website Malware and Security Scanner

Этот онлайн-сканер не даст вам детальную информацию, но в целом проанализирует следующее:

  • стоит ли старая версия WordPress;
  • проблемы (или вообще отсутствие) файервола;
  • домен находится в черном списке в некоторых системах безопасности (Google, Norton и т.п.);
  • список ссылок, расположенных на вашем сайте (вдруг там есть те, которые вы не добавляли);
  • список скриптов (опять же, на тот случай, если какие-то из них вы увидите в первый раз).

Sucuri — это качественный сканер, который найдет и отобразит информацию о возможных проблемах.

4 SiteGuarding.com

SiteGuarding.com работает примерно так же, как и остальные сканеры в этом списке. Но стоит отдельно отметить удобное и симпатичное отображение результатов сканирования.

Даже начинающий пользователь WordPress сможет разобраться, как пользоваться этим инструментом, и где находятся проблемные места сайта.

Что конкретно покажет SiteGuarding.com:

  • устаревшую версию WordPress;
  • нахождение сайта в черных списках;
  • обнаружение файервола;
  • анализ внутренних ссылок;
  • список плагинов, тем и скриптов (для того, чтобы проверить, что там нет неизвестных вам элементов).

5 UpGuard

Онлайн-сканер от UpGuard стоит выделить уже хотя бы потому, что он показывает анализ безопасности в формате геймификации. После сканирования вы получите определенное количество баллов, в зависимости от следующих факторов:

  • установлен ли у вас SSL-сертификат;
  • есть ли защита доменного имени;
  • замечено ли на сайте вредоносное ПО;
  • открытая информация о сервере;
  • включена ли SPF (Sender Policy Framework, инфраструктура политики отправителя);
  • и многое другое.

6 WP Neuron WordPress Vulnerability Scanner

Этот сканер предназначен специально для сайтов, работающих на WordPress. Сканируются плагины и темы вашего сайта, поэтому если смысл воспользоваться им, если вам кажется, что в этих элементах могут быть какие-либо проблемы. Традиционно сканер также расскажет, актуальная ли у вас версия WordPress, все ли хорошо с robots.txt, и обо всех странностях, которые заметит на вашем сайте (но основная информация все равно будет именно о плагинах и темах).

Читайте также:  Как написать рядом с картинкой в ворде

7 WPRecon WordPress Uptime & Security Monitoring

В целом этот сканер похож на Hacker Target WordPress Security Scan (который шел под номером один), но есть три ключевых различия. Помимо основной информации, сканер также предоставляет данные о:

  • внутренних ссылках;
  • JavaScript ссылках;
  • iFrame ссылках.

Эта информация поможет намного быстрее заметить и исправить любые проблемы, о которых в противном случае вы бы даже не догадывались.

Как часто пользоваться сканерами?

Проверка уязвимостей и возможных проблем на сайте – это регулярная процедура, которую следует производить хотя бы раз в месяц, но лучше чаще, так как взлом может принести вам немало проблем.

В конце статьи я хочу дать несколько общих советов по защите своего сайта (опытным пользователям они могут показаться банальными, но новичкам будут полезны).

Проверка более, чем простая:
1. Отсутствие единой точки входа с фильтрацией по "белому списку" всех входных пользовательских данных — это уже в 99.9% случаях — 100%-ое наличие уязвимости в коде.
2. Отсутствие единого класса/PDO и подготовленных выражений для запросов к базе данных — та же история.
3. Отсутствие настройки конфигурации .htaccess и настройки/проверки серверных переменных окружения — та же история.
4. Отсутствие экранирования тегов при выводе в шаблон — возможна XSS-атака.

Наш отечественный малоизвестный, но неплохой сервис find-xss.net (реф)
Есть бесплатная проверка файлов до 5Mb, при этом показывается по моему первые 5 найденных уязвимостей и мест на которые стоит обратить внимание.
Можно купить платный доступ на 24 часа за 3$ и проверять проекты до 20Mb, а так же сразу покажет весь отчёт.

Для параноиков есть клиент сканера реализованный на Java для проверки на своей машине.

С бесплатной версией есть небольшой лайфхак. Выкидываете из проекта всю графику, js, css и вёрстку (если она подключается шаблонизатором например) что бы проект максимально облегчить, жмете максимально архив и заливаете. Если всё равно не хватает места, то проверять в несколько этапов разбивая проект на куски и выкидывая из архива всякие плагины, модули и тд.

С ограничением на просмотр первых нескольких замечаний в отчете тоже есть лайвхак. Записываете куда нибудь себе в каком файле, на какой строке и в каком месте уязвимость и выкидываете эти файлы из архива, после чего повторяете операцию

Жаль нет возможности прикрыть мой комментарий от индексации 🙂

Ссылка на основную публикацию
Телефон греется и тормозит что делать
Почему тормозит устройство на Andro >Прежде чем перейти непосредственно к решению проблем, стоит указать на их причины. Зная о том,...
Стоит ли учиться на нефтяника
Добыча газа и нефти — очень популярная сфера в России. Именно поэтому большое количество выпускников стремится поступать на специальность «Нефтегазовое...
Стойка для аудио аппаратуры своими руками
Решил создать данную тему,т.к. думаю форумчанам будет интересно почитать, а кому то и поделиться личным опытом, по изготовлению своими руками...
Телефон завис на загрузке андроид
В результате поломки аппаратной части или сбоя в работе ОС любой Android-смартфон может перестать реагировать на кнопку включения. Частой можно...
Adblock detector