Безопасность сайта проверить: Проверка сайта на безопасность

Как проверить сайт на вирусы онлайн: инструменты для самостоятельной проверки

Рекомендации для владельцев сайтов, которые хотят проверить проект на наличие вирусов. В статье разберемся как найти и устранить вредоносное ПО.

Вредоносные скрипты и программы угрожают не только сохранности и надежности пользовательским данным, но и воруют пароли CMS, FTP аккаунтов, наносят вред базам данных, несут серьезные репутационные и финансовые риски со всеми вытекающими.

Ниже опишу некоторые способы, которые помогут проверить сайт на наличие вредоносных скриптов, а также полечить зараженный проект, если злоумышленники все же смогли найти уязвимость.

Самый простой способ: сервисы, которые проверяют файлы сайта онлайн

Чтобы проверить файл на вирусы, просто перейдите на сайт онлайн-сканера, укажите адрес сайта для сканирования или загрузите файлы. Сервис проверит файлы на наличие вредоносных программ и предоставит отчет о результатах сканирования.

Вот некоторые из наиболее популярных онлайн-сервисов, которые позволят проверить сайт без необходимости загружать их на компьютер — VirusTotal, Доктор Веб и Hybrid Analysis.

VirusTotal сканирует сайт с помощью более чем 70 различных антивирусных движков и предоставляет подробную информацию о любых обнаруженных угрозах.

Можно использовать отечественный сервис PR-CY, который также поможет определить вирусы. Инструмент не имеет собственных вирусных баз, в результатах вы увидите лишь анализ безопасности от Яндекс и Google.

Можно воспользоваться сервис Google Malware Checker — это бесплатный инструмент, который предоставляется компанией Google. Он позволяет вебмастерам убедиться, что их сайт не содержит вредоносного контента.

Если в результате проверки Google Malware Checker обнаружит на сайте вирусы, то он выведет предупреждение и рекомендации по устранению проблемы. Владелец сайта может использовать эту информацию для удаления вредоносного контента и обеспечения безопасности сайта и пользователей.

Посложнее: Специальные антивирусные плагины для проверки страниц

Антивирусные плагины для браузеров обнаруживают вирусы и другие вредоносные программы на веб-страницах путем анализа кода и поведения страницы в режиме реального времени.

Существует множество антивирусных расширений для браузеров, таких как Avast Online Security, Dr.Web Link Checker, McAfee WebAdvisor, Kaspersky Protection, Norton Safe Web и другие. Установите любое из этих расширений и оно будет проверять сайты на наличие вредоносного контента при открытии страницы.

Хотя эти методы проверки могут быть полезными, они не являются идеальными и могут не обнаруживать все виды вредоносного контента. Поэтому, для более надежного анализа рекомендую использовать иные методы, например онлайн-инструменты и антивирусное программное обеспечение.

Просто, но не так надежно: внутренние функции безопасности браузера

Проверка сайта на наличие вирусов с помощью браузера может быть выполнена с использованием встроенных функций безопасности. Рассмотрим несколько способов проверки сайта на вирусы с помощью браузера.

Функция «Safe Browsing» в браузере Google Chrome. Это встроенный инструмент браузера, который обменивается данными с системой Safe Browsing и сверяет хэши URL и файлов с таблицей, полученной от GSB. Если сайт содержит вредоносный контент, то вы увидите предупреждение от Google о потенциальной опасности.

Аналогично работает функция «SmartScreen» в браузере Microsoft Edge. Если сайт содержит вредоносный контент, то вы увидите предупреждение от браузера. Система предложит возможность вернуться на безопасную страницу или перейти на сайт на свой страх и риск.

Этот метод анализа скорее поможет обезопасить серфинг пользователей в интернете, но не даст полноценной информации о зараженном проекте, не говоря уже о том, чтобы определить и инфицировать зараженный контент.

Сложно, но, возможно, самое эффективное: ручная проверка файлов на компьютере

Если вы не доверяете антивирусному ПО или онлайн-сканерам, то можете выполнить ручную проверку файлов на вирусы. Для этого можно использовать такие инструменты, как Microsoft Safety Scanner или Malwarebytes Anti-Malware.

Чтобы выполнить ручную проверку файлов, выгрузите на свой компьютер файлы сайта через любой FTP-клиент, затем откройте антивирусное ПО и выполните сканирование директорий с файлами.

Ещё один рабочий способ: восстановить сайт из резервной копии или обратиться к провайдеру

Если сайт заражен и вам пришло уведомление о наличии вредоносного ПО на вашем аккаунте, то можно сделать следующее:

1. Восстановить сайт из резервной копии — прямо с сервера вашего хостинг-провайдера или же развернуть последний «чистый» бэкап. Обычно резервная копия хранится на сервере до 30 дней. Но всё зависит от вашего хостера.
2. Если сайт заражен длительное время или восстановление из резервной копии не решило проблему, проверьте сайт на наличие вирусов с помощью инструмента антивирусной проверки, которые есть у большинства популярных хостинг-провайдеров.

Такой инструмент не просто удаляет определенные файлы, он «лечит» их, убирая зараженные фрагменты кода, и дописывает недостающие для работы сайта. Он обнаруживает и устраняет шеллы, бэкдоры, трояны, редиректы и вредоносные коды в PHP, HTML, JS, файлах изображений и системных файлах.

Последние важные рекомендации

После устранения проблемы обязательно обновите используемую CMS до последней стабильной версии, а также все подключенные расширения и плагины.

Вот еще несколько актуальных рекомендаций:

1. Обновите все используемые пароли — от услуги хостинга и FTP всех дополнительных аккаунтов, пользователя базы данных и администратора сайта.
2. Старайтесь не использовать права «777» на каталоги и файлы сайтов, поскольку эти атрибуты дают любому пользователю полный доступ к файлам и каталогам вашего аккаунта.
3. Используйте только официальные темы и плагины CMS. Очень часто во взломанных (nulled) версиях платных скриптов имеются вирусы.
4. Используйте сложные пароли (длиной не менее 8 символов, с цифрами и буквами разных регистров). Помните, что простые пароли очень легко подбираются.
5. Не храните пароли в FTP-клиентах. Очень часто вирусы берут информацию из FTP-клиента.

В заключение добавлю, что проверка сайта на наличие вирусов является важным шагом для защиты компьютера и личных данных. Правильное применение перечисленных способов может помочь защитить вас от вредоносных программ и сохранить ваши данные в безопасности.

Что важного в диджитал на этой неделе?

Каждую субботу я отправляю письмо с новостями, ссылками на исследования и статьи, чтобы вы не пропустили ничего важного в интернет-маркетинге за неделю.

Узнать подробнее →

Метки #безопасность, #инструменты

Проверка сайта на вирусы — Cтатьи

Вирусы могут нанести Вашему сайту и его аудитории значительный вред. Давайте вместе разберем, почему такие проблемы возникают, как определить наличие угроз, а главное – как от них защититься.

Причины заражения Вашего сайта вирусом могут быть самые разные.
Часто это сбор различных данных о:

• платежах;
• онлайн-заявках;
• контактах;
• заполненных формах (кража личной информации пользователей).

Также сайты могут быть взломаны, чтобы разместить там контент злоумышленников: рекламу запрещенных товаров и порнографию, ссылки на другие ресурсы и т.

д.

Сайт могут заразить вирусом конкуренты с основной целью: навредить работе сайта и понизить Ваш ресурс в поисковых системах (если поисковая система обнаружит вирус на сайте, то он потеряет всякие позиции в ТОПе поиска).

Как вирусы попадают на сайт

На удаленный веб-сервер вирус преимущественно попадает через:

• Выгрузку файлов на сервер с уже зараженного ПК.
• Заполнение и отправку полей через HTTP-протокол. Проще говоря, формы обратной связи на Вашем сайте позволяют отправить на сервер не только текст, но и программный код, который может выполнить на сервере какие-либо действия.
• Уязвимости в плагинах и расширениях Вашего сайта. Такое может случиться, если Вы устанавливаете на сайт плагины от непроверенных разработчиков.

Конечно, безопасность сайта, в первую очередь, зависит от владельца, но определенные проблемы могут возникать и из-за хостинга. Чтобы снизить риски, стоит обращать внимание на отзывы о безопасности хостинг провайдера.

Обеспечение безопасности сайтов на хостинге masterhost

Для обеспечения максимальной безопасности на виртуальном хостинге masterhost мы используем следующие методы защиты:

• Защита виртуального хостинга: WAF.
• Защита почты: Kaspersky Anti-Spam, ClamAV.
• Защита от DDoS на уровне L3-L4 на виртуальном хостинге, VPS и выделенных серверах.

Всем клиентам мы предлагаем соблюдать ряд простых рекомендаций для поддержания защиты своих площадок:

• Для подрядчиков и фрилансеров необходимо выписывать новые доступы для FTP, MySQL/MSSQL-пользователей.
• После завершения работ эти доступны необходимо отключать/удалять.
• Если SSH-доступ передавался третьим лицам, после завершения всех необходимых манипуляций нужно менять пароль SSH.

Способы проверки сайта на вирусы

Обнаружить вирус на хостинге не всегда просто, и лучшим решением станет использование сразу нескольких инструментов.
Все способы сканинга можно объединить в четыре основные группы:

1. Онлайн-сканеры

   Данный способ проверки обычно годится для выявления самых распространенных и не очень сложных вирусов. К онлайн-сканерам можно также отнести сервисы, предоставляемые поисковыми системами.

2. Работа со специалистами

   В случае серьезного заражения сайта Вам, вероятно, потребуется помощь программиста. Это самый надежный, хотя и не бесплатный, способ.

3. Инструменты, предоставляемые
   хостинг-провайдером

   На веб-серверах, помимо файерволов, которые предназначены для предотвращения заражения сайтов, существуют также антивирусы, позволяющие проверять и отфильтровывать подозрительную активность в файлах. Чаще всего такие антивирусы доступны в панели управления хостингом.

4. Проверка файлов сайта
   антивирусом на компьютере

   Для этого Вам нужно скачать на свой компьютер все файлы сайта из корневой папки.

   Даже при учете проверки на своем ПК лучше использовать специализированные антивирусы, а не антивирус для домашнего компьютера. Например, бесплатный ClamAV.

Важно! Вполне вероятно, что для решения проблемы Вам придется удалить часть зараженных файлов, поэтому Вы должны иметь резервную копию сайта с «чистыми» файлами.

Признаки вируса на сайте

Признаков может быть несколько:

• Резкие скачки в скорости загрузки страниц. Часто приходится ждать по 10  и более секунд для полной загрузки.
• Нарушения в структуре сайта: могут «слетать» элементы на  страницах, не работает функционал (калькуляторы, формы обратной связи и т.д.).
• При переходе по ссылкам пользователей может перенаправлять на сторонние ресурсы.
• Появление большого числа страниц, которые Вы не создавали.
• Появление контента/ссылок, которые Вы не добавляли на сайт.

Способы проверки сайта на вирусы

Рассмотрим два основных способа:

• Проверка внутренними инструментами хостинга.
• Проверка сайта онлайн-сервисами – платными или бесплатными.

Проверка на хостинге

В панели управления хостингом Вам нужно найти вкладку, отвечающую за безопасность.

Например, в cPanel это выглядит так:

Здесь Вам нужны следующие утилиты:

• MoDSecurity – базовый файервол, который стоит включить сразу в начале работы с хостингом;
• Imunify Av – непосредственно сам сканер.

Если перейти по ссылке Imunify Av, то будет видно следующее:

Вкладка «Файлы» отвечает за отображение содержимого с подозрительной активностью. Обратите внимание: часто после проверки сюда попадают определенные части кода от плагинов, установленных на Вашем сайте.
Перед удалением подозрительных файлов всегда делайте резервные копии, так как случайное удаление системных файлов CMS может привести к неработоспособности всего сайта.

Проверка онлайн-сканерами

Онлайн-сканеры выполняют простую проверку сайта на наличие самых распространенных вирусов.

2ip

Российский онлайн-антивирус с интуитивно понятной панелью управления. Для проверки введите название нужного домена и через 20 секунд Вы увидите результаты.

Virustotal

Этот онлайн-сканер пользуется популярностью среди веб-разработчиков. Его уникальность заключается в том, что Ваш сайт одновременно проверяет сразу около 60 антивирусов.
Для того, чтобы пройти проверку, необходимо выбрать вкладку «url» и затем ввести нужный домен в поле. После нажатие кнопки проверки Вы получите определенную отчетность о зараженных файлах.

Antivirus-Alarm

Осуществляет проверку путем сравнивания содержимого со своими внутренними базами данных. Чтобы начать сканирование, перейдите по пункту меню «Проверить» и введите необходимый веб-адрес (без https://). После проверки Вы получите результаты в виде списка.

Quttera

Довольно часто с его помощью можно обнаружить зараженные файлы, не найденные другими антивирусами. Здесь можно воспользоваться и платной услугой проверки, которая просканируют Ваш сайт более подробно.

Перейдите на сервис, введите нужный Вам адрес и дождитесь результата проверки.

Сканинг будет довольно долгим (около 5 минут). Система намного подробнее просматривает все файлы, а после успешной проверки Вам останется перейти по ссылке и получить вот такой отчет.

В первую очередь, здесь стоит обратить внимание на три основные поля:

• Malicious files – вредоносные файлы;
• Suspicious files – подозрительные файлы;
• Potentially Suspicious files – потенциально подозрительные файлы.

Если во всех этих колонках стоят нули, то это означает, что все в порядке.

Как защитить свой сайт от вирусов

1. Никогда не загружайте непроверенные файлы на веб-сервер и не входите в его панель управления с непроверенных устройств.

   Все операции с сервером нужно проводить только с проверенного или личного устройства, а доступ ко входу и редактированию всех файлов разрешить только одному пользователю.

   Стоит правильно настроить делегирование на чтение и запись, чтобы редактирование и изменение файлов и папок было доступно только для вас.
   Для этого в админ-панели сервера зайдите в файловый менеджер и перейдите в настройки прав доступа. Для файлов укажите код – 644, для папок – 744.

2. Купите или бесплатно получите SSL-сертификат.

   Он содержит данные о:

   • Доменном имени.
   • Лице, на которое оформлен домен.
   • Сроке действия.
   • Базовой информации провайдера.

   С SSL-сертификатом Ваш сайт сможет передавать данные по зашифрованному протоколу https (в отличие от http), а информация станет приходить на сервер в виде ключа-кода, который, хотя и можно перехватить, но расшифровать достаточно сложно.
   В первую очередь SSL-сертификат поможет Вам в борьбе со взломом базы данных, где хранится самая важная информация сайта и CMS (платежные данные, ФИО владельца и пользователей и т.п.).

3. Всегда зашифровывайте свои пароли.

   Храните все доступы на флешке, а еще лучше – в записной книжке.
   В настройках браузера стоит отключить разрешение на автоматическое сохранение паролей. Лучшей альтернативой станут услуги онлайн-сервисов по хранению данных. Для Chrome – это LastPass: он будет сохранять все Ваши данные в зашифрованном личном кабинете, доступном только Вам по логину и паролю.

   Также стоит отрегулировать настройки резервного копирования сервера. Не на всех хостингах это предусмотрено автоматически. Интуитивно разобраться в настройках здесь несложно, обычно нужно лишь выставить:

   • время ежедневного копирования;
   • максимальное количество копий;
   • сколько будет храниться одна копия.

Выводы

• Для устранения проблем с вирусом стоит изначально заняться чисткой своего ПК, с которого Вы заходите на сервер.
• Внимательно проверяйте все плагины, которые Вы добавляете на свой сайт.
• Используйте сложные пароли и не передавайте их третьим лицам без необходимости.
• Применяйте двухфакторную аутентификацию.
• Обращайте внимание на увеличение времени загрузки сайта, различные спам-сообщения, перенаправление пользователей с Вашего ресурса на другие сайты и т. д.
• В случае любых подозрений о заражении вирусом, тут же проверяйте сайт доступными средствами.
• Обязательно храните резервную копию сайта.

Что такое политика безопасности контента и как реализовать передовой опыт

Владельцу веб-сайта полезно знать о проблемах безопасности, которые могут повлиять на ваш сайт. Например, атаки с использованием межсайтовых сценариев (XSS) состоят из внедрения вредоносных сценариев на стороне клиента в веб-сайт и использования веб-сайта в качестве метода распространения.

Вы, наверное, также знаете, что клиентские сценарии можно запрограммировать практически на что угодно. Они могут быть такими же простыми, как отображение предупреждающего сообщения на вашем веб-сайте, анимация изображений, майнинг криптовалют или отображение всплывающих окон, содержащих фармацевтические продукты NSFW.

Важно понимать, что когда злоумышленники находят веб-сайт уязвимым для XSS-атак, у них есть два варианта внедрения в него вредоносных скриптов:

• Встроенный скрипт : когда злоумышленники помещают свой код непосредственно в HTML-код вашего веб-сайта.
• Загрузить сценарий с внешнего домена : когда злоумышленники загружают сценарий с нескольких зараженных сайтов и изменяют его по мере необходимости. Все изменения будут отражены на этих сайтах.

Злоумышленники предпочитают загрузку скриптов из внешнего домена.

XSS-атаки возможны, потому что браузеры доверяют всем запросам, поступающим с вашего веб-сайта, встроенным или из внешнего источника. Этот пост призван познакомить вас с инструментом, который может помочь вам снизить некоторые риски XSS-атак .

Что такое политика безопасности содержимого?

Согласно веб-сайту W3, Content Security Policy (CSP):

Инструмент, который разработчики могут использовать для блокировки своих приложений различными способами, снижая риск уязвимостей, связанных с внедрением контента, таких как межсайтовые сценарии, и уменьшая привилегия, с которой выполняются их приложения.

CSP делает это, позволяя веб-разработчикам определять такие директивы, как:

• Выполнять весь код, поступающий из моего домена (например, awesomedomain. com)
• Выполнять весь код, поступающий из внешнего доверенного домена и поддоменов (например, *. trustdomain.com)
• Ничего не выполнять, кроме скрипта awesomedomain.com/script.min.js
• Не выполнять JavaScript
• Показывать только изображения с сайта cdn.securecdn.com
• Сочетание прошлых примеров и многое другое. гораздо более!

Firefox будет учитывать вторую версию CSP, начиная с версии 31, Chrome , начиная с версии 40, и Safari , начиная с версии 10. Браузеры, которые не поддерживают его, просто игнорируют его.

Как определить CSP?

Каждый CSP состоит из двух частей:

• Первая часть представляет собой набор директив, которые сообщают браузерам посетителей вашего сайта, как управлять определенными ресурсами вашего сайта.
• Вторая часть — это распоряжение, которое сообщает браузерам, следует ли применять CSP или нет.

Мы поговорим о расположении CSP позже в этом посте.

Давайте рассмотрим пример того, как мы можем определить политику для JavaScript с помощью директивы script-src.

 Content-Security-Policy: script-src 'none' 

Эта директива предотвратит выполнение JavaScript в браузерах, которые соблюдают политику безопасности содержимого.

Теперь, когда мы создали одну директиву, давайте на мгновение остановимся и посмотрим, как мы можем доставить ее в браузер посетителей вашего сайта. У вас есть два варианта:

Первый вариант — использовать тег HTML, который следует размещать как можно раньше в HTML-коде веб-страницы.

Вот как можно настроить директиву script-src для блокировки всего JavaScript в теге < meta >:

Второй метод заключается в использовании заголовка HTTP-ответа Content-Security-Policy.

Например, если вы используете Apache, вы можете определить CSP в httpd.conf , VirtualHost или . htaccess файл вашего сайта.

Просто добавьте это так (тот же пример блокирует весь JavaScript):

 Набор заголовков Content-Security-Policy «script-src 'none';» 

Второй способ считается более безопасным и, собственно, сам W3 рекомендует именно так обслуживать CSP.

Какие примеры политик можно привести?

Прежде всего, давайте посмотрим на некоторые директивы, которые мы можем определить в наших политиках:

• script-src ограничит место, из которого выполняются сценарии (а также заблокирует встроенные сценарии и функцию eval()).
• media-src ограничит место, из которого загружаются видео, аудио и связанные с ними ресурсы текстовой дорожки.
• frame-src ограничит место, из которого загружаются iFrames.
• img-src ограничит место загрузки изображений.
• font-src ограничивает место, из которого загружаются файлы шрифтов.
• style-src ограничит место загрузки файлов .css (а также заблокирует встроенные стили).
• default-src применит политику безопасности к child-src, connect-src, font-src, frame-src, img-src, manifest-src, media-src, media-src, object-src, script-src , style-src и worker-src, где они сами не определены (сэкономит вам ввод текста!).

Вы можете увидеть полный список директив, которые вы можете установить на веб-сайте W3.

Во-вторых, давайте посмотрим некоторые из ключевые слова/значения вы можете установить свои директивы на:

• «none» не будет соответствовать ничему — это означает, что все элементы, контролируемые директивой, будут заблокированы (см. наш пример блокировки всего JavaScript на странице).
• «я» будет соответствовать происхождению текущего URL-адреса (URL-адрес вашего веб-сайта).
• «https://*» будет соответствовать всем ресурсам, загружаемым через HTTPS.
• ‘*.awesomedomain.net’ будет соответствовать домену awesomedomain.net, а все поддомены
  ‘https://awesomedomain.net/script. js’ будут соответствовать только скрипту script.js в домене awesomedomain.net через HTTPS.

Давайте теперь рассмотрим несколько конкретных примеров.

Пример 1:

CSP Разрешение только JavaScript, размещенного на вашем сайте

 Content-Security-Policy: script-src 'self' 

Пример 2:

CSP Разрешение только JavaScript и изображений, размещенных на вашем сайте

 Content - Политика безопасности: script-src 'self'; img-src «я»; 

Пример 3:

CSP Разрешено размещение только JavaScript на вашем сайте и cdn.trustedorigin.net, но размещение изображений везде

 Content-Security-Policy: script-src 'self' cdn.trustedorigin.net; img-источник *; 

Пример 4:

CSP блокирует iFrames на вашем сайте

 Content-Security-Policy: frame-src 'none;' 

Пример 5:

CSP блокирует все отправки форм на вашем сайте

 Content -Безопасность-Политика форма-действие 'нет'; 

Пример 6:

CSP разрешает только файл script. js на https://trustedorigin.net/ и значения по умолчанию child-src, connect-src, font-src, frame-src, img-src, manifest -src, media-src, media-src, object-src, script-src, style-src и worker-src к источнику текущего URL

 Content-Security-Policy default-src ‘self’; источник сценария https://trustedorigin.net/script.js; 

Как проверить CSP?

Как мы упоминали ранее, важно знать, что у каждой политики есть диспозиция, которая может быть либо « применять », либо « сообщать ».

Расположение «принудительно» применяет CSP, в то время как «отчет» позволяет разработчикам экспериментировать с политикой, фактически не применяя ее.

Вы можете сделать это, определив 9Заголовок 0010 Content-Security-Policy-Report-Only вместо заголовка Content-Security-Policy и добавление директивы report-uri с URL-адресом, по которому вы хотели бы видеть отчеты о нарушениях CSP.

Идея здесь в том, что вы можете исправить любое случайное нарушение вашей политики, прежде чем применять его.

Заголовок Content-Security-Policy-Report-Only не поддерживается внутри элемента.

Как устранить предупреждения о смешанном содержимом с помощью CSP?

Вы можете решить проблему предупреждений о смешанном содержимом с помощью CSP, определив директиву upgrade-insecure-requests , которая сделает всю тяжелую работу за вас.

Когда вы используете update-insecure-requests в CSP, все HTTP-запросы обновляются браузером до HTTPS перед выполнением сетевых запросов.

Если на вашем сайте есть что-то вроде этого:

Будет запрошено, как если бы это было так:

Вы также можете сделать еще один шаг и добавить следующую директиву в свой CSP:

 block-all-mixed-content 

Как следует из названия директивы, она будет блокировать весь контент, недоступный через HTTPS.

Считалось, что обе директивы upgrade-insecure-requests и block-all-mixed-content поддерживают безопасность вашего сайта, поэтому они будут блокировать ресурсы, недоступные через HTTPS. Будьте осторожны с этими директивами, так как они могут сломать ваш сайт.

Помните, что браузеры, не поддерживающие CSP вашего сайта, все равно будут отображать предупреждения о смешанном содержании на вашем сайте. Это не следует считать полным решением проблемы. Вы можете узнать больше о том, как решить основную проблему предупреждений о смешанном содержимом, в этом сообщении блога и в нашем бесплатном руководстве по установке SSL-сертификата.

Заключение

XSS-атаки могут быть чрезвычайно опасными для онлайн-бизнеса . Внедрение нежелательных вредоносных скриптов может привести к тому, что ваш веб-сайт будет занесен в черный список Google или другими органами, занимающимися черными списками, и, следовательно, навредит репутации вашего бизнеса.

Очень важно понимать, что CSP не остановит злоумышленников от использования уязвимостей на вашем сайте. Но он не позволяет современным браузерам выполнять внедренные вредоносные скрипты, если они когда-либо внедряются на ваш сайт. Вы должны рассматривать CSP как еще один уровень защиты вашего веб-сайта, а не как единственную линию защиты.

Если вы ищете комплексное решение для обеспечения безопасности веб-сайта, которое будет отслеживать и защищать ваш веб-сайт, мы предлагаем платформу безопасности веб-сайта.

Онлайн сканер уязвимостей | Сканировать веб-приложение бесплатно

Что такое сканер уязвимостей веб-сайта?

Сканер веб-уязвимостей — это инструмент тестирования безопасности веб-сайтов, который автоматически обнаруживает бреши в безопасности и неправильные настройки в веб-приложениях и их компонентах. Его независимые от языка возможности делают его важным инструментом для обнаружения распространенных уязвимостей в веб-службах, веб-серверах, прокси-серверах и серверах веб-приложений.

Наша команда разработала сканер уязвимостей веб-сайта на Pentest-Tools.com, чтобы предоставить специалистам по безопасности надежное, полноценное решение, предлагающее как варианты углубленного тестирования, так и дополнительные возможности автоматизации и отчетности.

---

Что отличает наш сканер уязвимостей веб-сайтов

Вы можете использовать наш сканер уязвимостей веб-сайтов онлайн, не тратя время на ручную настройку сценариев. Список тестов, которые он выполняет, общедоступен, а параметры настройки позволяют вам полностью контролировать его функциональность.

Наряду с мощными возможностями создания отчетов и мощными функциями автоматизации наш сканер уязвимостей веб-сайтов является мощным инструментом для динамического тестирования безопасности приложений (DAST) и статического тестирования безопасности приложений (SAST).

Клиенты также интегрируют наш сканер веб-сайтов в свой процесс безопасного жизненного цикла разработки программного обеспечения (SDLC), особенно через наш API, а также посредством запланированных и массовых сканирований.

Сканер веб-сайтов Выводы, автоматически подтвержденные нашим сканером, отмечены тегом Подтверждено. Результаты также включают снимки экрана и статистику сканирования , такую ​​как просмотренные URL-адреса, общее количество HTTP-запросов, количество ошибок и другие полезные сведения.

---

Как работает наш сканер уязвимостей веб-сайтов

При использовании онлайн-сканера уязвимостей веб-сайтов цель состоит в том, чтобы перевести как можно больше рутинных задач в фоновый режим. Вы можете использовать наш сканер уязвимостей веб-сайтов отдельно или для более глубокого изучения поддоменов и виртуальных хостов, а также открытых портов, обнаруженных сканером портов TCP и инструментом сканирования портов UDP на этапе разведки.

Какую бы тактику вы ни предпочли, этот инструмент поможет вам свести к минимуму рутинные задачи и выиграть время, чтобы использовать свой уникальный опыт для установления связей, на которые способен только опытный специалист.

Версия Light Scan – оптимизирована для скорости

Вы можете использовать наш инструмент в качестве бесплатного сканера уязвимостей веб-сайтов без создания учетной записи. Это пассивное сканирование выполняет только выборку законных запросов к целевой системе и генерирует максимум 20 HTTP-запросов к серверу.

Используйте легкое сканирование, если вы не хотите поднимать тревогу, но помните, что оно лишь поверхностно с точки зрения проверки безопасности.

Полная версия сканирования – обнаружение собственной собственности

Полное сканирование подробно описывает всю поверхность атаки целевой системы путем обхода приложения, обнаружения скрытых файлов, использования дополнительных векторов атаки для проверки на наличие проблем с конфигурацией сервера и устаревших служб, создания снимков экрана и т. д.

Это сканирование безопасности веб-сайта отправляет до 10 000 HTTP-запросов, которые могут вызывать сигналы тревоги от устройств IDS (система обнаружения вторжений). Не беспокойтесь: это , а не , деструктивное сканирование.

После обхода целевого приложения инструмент отправляет различные входные данные для параметров страниц и ищет определенные веб-уязвимости, такие как: внедрение SQL, межсайтовые сценарии, включение локальных файлов, внедрение команд ОС и многие другие. Сканер безопасности сайта также пытается обнаружить конфиденциальные файлы с сервера (например, файлы резервных копий, старые файлы, интерфейсы администратора, архивные файлы и т. д.).

Чтобы свести к минимуму количество ложных срабатываний, сканер уязвимостей веб-сайтов также включает метод обнаружения 404 страниц.

Широкие возможности настройки

За простым интерфейсом нашего сканера уязвимостей веб-сайтов скрывается надежный предварительно сконфигурированный и точно настроенный механизм, который работает в распределенной среде и может выполнять несколько параллельных сканирований .

Чтобы каждая проверка безопасности веб-сайта учитывалась, комбинируйте параметры сканирования для тщательной оценки. Параметры настройки включают в себя возможность:

• установить настраиваемые ограничения на количество запросов в секунду к цели
• выбрать из обширного списка начальных тестов , который включает обнаружение методов отладки HTTP и неправильных конфигураций CORS и пассивные проверки , которые включают обнаружение для Log4Shell, внедрения кода PHP, внедрения кода Python, внедрения кода Perl, внедрения кода Ruby, внедрения шаблона на стороне сервера (SSTI), нарушенной аутентификации, содержимого смешанного шифрования и многих других.

Используйте этот сканер веб-сайтов онлайн с другими функциями нашей облачной платформы, чтобы еще больше расширить его возможности:

• Параметры автоматизации, такие как роботы для пентеста и шаблоны сканирования
• Веб-перехватчики для уведомлений в реальном времени
• Плановые сканирования и массовое сканирование
• Совместное использование рабочего пространства и элементов для эффективного сотрудничества
• Поиск шаблонов и шаблонов отчетов

Сканер безопасности также регулярно получает обновления, постоянно совершенствуясь благодаря новым функциям.

---

Сканирование с проверкой подлинности

Сканер уязвимостей веб-сайта на Pentest-Tools.com также позволяет сканировать целевое веб-приложение в качестве пользователя, прошедшего проверку подлинности. Вы можете настроить аутентификацию несколькими способами:

• Аутентификация пользователя/пароля , когда сканер сначала пытается пройти аутентификацию по предоставленному URL-адресу для входа и получить действительный файл cookie сеанса. Этот файл cookie используется со всеми HTTP-запросами к серверу, выполняя сканирование с проверкой подлинности. Все, что вам нужно сделать, это проверить, прошла ли аутентификация успешно, прежде чем начать сканирование.
• Cookie Authentication , где вы можете указать уже действительный файл cookie сеанса (или несколько), который отправляется с каждым HTTP-запросом на сервер. Вы должны сначала получить файл cookie сеанса, вручную войдя в целевое приложение с помощью веб-браузера и скопировав/вставив файл cookie из браузера в сканер.
• Проверка подлинности заголовков , где вы можете указать настраиваемые заголовки HTTP, которые отправляются с каждым запросом целевому приложению. Вы можете использовать их для аутентификации (например, токены JWT, базовая аутентификация и т. д.) или для других конкретных функций приложения.
• Записанная аутентификация , где вы можете записать шаги, необходимые для аутентификации в цели. Затем сканер использует эту запись для автоматического воспроизведения действий для получения действительного сеанса каждый раз, когда он обнаруживает, что требуется повторный вход в систему.

---

Полный список тестов сканера уязвимостей веб-сайтов

9 0369 9037 0 Включено 9 0370 Включено

Легкое сканирование	Полное сканирование	Проведенные тесты
В комплекте	Включено	Программное обеспечение веб-сервера отпечатков пальцев
Включено	Включено	Анализ заголовков HTTP на наличие неправильной конфигурации безопасности
Включено	Включено	Проверка безопасности файлов cookie HTTP
Включено	Включено	Проверить SSL-сертификат сервера
Включено	Включено	Проверить, не подвержено ли программное обеспечение сервера известным уязвимостям
Включено	Включено	Анализ robots. txt на наличие интересных URL
Включено	Включено	Проверить, существует файл доступа, и если он содержит запись с подстановочными знаками (clientaccesspolicy.xml, crossdomain.xml )
Включено	Включено	Обнаружение проблем с конфигурацией сервера, таких как список каталогов
Включено	Включено	Проверить, включены ли методы HTTP TRACK/TRACE
Включено	Включено	Проверить, отсутствует ли файл security.txt на сервере
Включено	Включено	Проверка правильности конфигурации CORS
Нет Включено	Включено	Сканирование веб-сайта
Не включено	Включено	Проверка на SQL-инъекцию
Не включено	Включено	Проверка на наличие межсайтовых сценариев
Не включено	Включено	Проверка на включение локальных и удаленных файлов
Не включено 90 371	Включено	Проверка внедрения команд ОС
Не включено	Включено	Проверка на межсайтовые сценарии ASP без файлов cookie
Не включено	Включено	Проверка на подделку запросов на стороне сервера
Не включено	Включено	Проверка на открытую переадресацию
Не включено	Включено	Проверка на нарушение аутентификации 903 71
Не включено	Включено	Проверка на внедрение кода PHP
Не включено	Включено	Проверка на внедрение кода JavaScript
Не включено	Включено	Проверка на внедрение кода Ruby
Не включено	Включено	Проверка на внедрение кода Python
Не включено	Включено	Проверка на внедрение кода Perl 9 0371
Не включено	Включено	Проверка удаленного выполнения кода Log4j
Не включено	Включено	Проверка на внедрение шаблона на стороне сервера
Не включено	Включено	Проверка удаленного выполнения кода ViewState
Не включено	Включено	Проверка на загрязнение прототипа на стороне клиента
Не включено	Проверка открытых файлов резервных копий
Не включено	Включено	Проверка переопределения URL-адреса запроса
Не включено	Включено	Проверка на внедрение шаблона на стороне клиента
Не включено	Включено	Проверка на контрабанду запросов HTTP/1. 1
Не включено	Включено	Проверка на наличие устаревших библиотек JavaScript 903 71
Не включено	Включено	Поиск административных страниц
Не включено	Включено	Проверка конфиденциальных файлов (архивы, резервные копии, сертификаты, хранилища ключей) на основе имени хоста и некоторых общих слов
Не включено	Включено	Попытка поиска интересных файлов/функций
Не включено	Включено	Проверка на предмет раскрытия информации 90 371
Не включено	Включено	Способ отправки слабого пароля
Не включено	Включено	Представление учетных данных открытым текстом
Не включено	Включено	Проверка источников домена
Не включено	Включено	Проверка наличия комментариев кода/отладочных сообщений
Не включено	Поиск интерфейсов входа в систему
Не включено	Включено	Сканирование конфиденциальных данных

Предупреждение

Полное сканирование создает сильный шум в сети. Большинство правильно настроенных IDS обнаружат это сканирование как атакующий трафик. Не используйте его, если у вас нет надлежащего разрешения от владельца целевого веб-сайта.

---

Параметры сканирования платящих клиентов

Параметр	Описание
Целевой URL 903 71	Это URL веб-сайта, который будет просканирован. Инструмент не следует никаким перенаправлениям, поэтому будет сканироваться точный URL-адрес. Если вы хотите сканировать только определенный каталог или путь, вы можете добавить его в URL-адрес, например: http://www.mycompany.com/base_directory . Все URL должны начинаться с http или https .
Light Scan	Это быстрое, пассивное и ненавязчивое сканирование.
Полное сканирование	Это полная оценка, которая охватывает гораздо более широкий спектр тестов безопасности.
Начальные тесты	Отпечаток веб-сайта, уязвимости серверного программного обеспечения, Robots.txt, библиотеки JavaScript, сертификаты SSL/TLS, политики клиентского доступа, методы отладки HTTP, отсутствие файла Security.txt, неверная конфигурация CORS, обнаружение ресурсов
Опционы двигателя	Classic Spider — используется для сканирования классических веб -сайтов Spa Spaud — используется для ползания приложения для одного страницы (Javascript Heavy); Этот конкретный параметр все еще находится в стадии бета-тестирования. Ограничения — используется для контроля глубины сканирования и количества запросов в секунду Исключенные URL-адреса — список URL-адресов, которые следует игнорировать при сканировании.
Варианты атаки	Активные проверки: — XSS, внедрение SQL, включение локального файла, внедрение команд ОС, подделка запроса на стороне сервера, открытое перенаправление, нарушенная аутентификация, внедрение кода PHP, внедрение кода JavaScript на стороне сервера, Внедрение кода Ruby, Внедрение кода Python, Внедрение кода Perl, Удаленное выполнение кода Log4j, Внедрение шаблона на стороне сервера, Удаленное выполнение кода ViewState; Пассивные проверки: заголовки безопасности , безопасность файлов cookie, список каталогов, безопасная связь, метод отправки слабого пароля, код с комментариями/коды ошибок, отправка учетных данных открытым текстом, проверка источников домена, содержимое смешанного шифрования, сканирование конфиденциальных данных, поиск входа Интерфейсы
Аутентификация	Аутентификация на основе записи сессия каждый раз при входе в систему требуется Проверка подлинности на основе форм — Учетные данные сканера для попытки проверки подлинности перед началом сканирования Проверка подлинности на основе файлов cookie — Действительный файл cookie сеанса, который будет использоваться сканером для проверки подлинности сканирования Аутентификация заголовков — Пользовательские заголовки HTTP, которые также могут использоваться для аутентификации (например, токены JWT, базовая аутентификация и т. д.)
Уведомления	Получайте уведомления, когда результаты сканирования соответствуют заданным вами условиям.

Узнайте, как настроить сканер веб-сайтов для достижения наилучших результатов.

---

Что делать после запуска сканера уязвимостей веб-сайта

Помимо сканера уязвимостей веб-сайта, у вас есть полный арсенал онлайн-инструментов для тестирования безопасности веб-сайта на Pentest-Tools.com для проведения тщательной и эффективной оценки уязвимости веб-сайта.

Вы можете использовать средство поиска субдоменов и специальные инструменты для поиска виртуальных хостов для каждого веб-приложения. Запуск сканера портов TCP и инструмента сканирования портов UDP поможет вам обнаружить все открытые порты, чтобы обеспечить полное покрытие во время оценки безопасности.

Если копнуть глубже, наши различные веб-сканеры CMS помогут вам обнаружить уязвимости WordPress, Drupal, Joomla и SharePoint.