Обзор бесплатных онлаин сканеров: Проверяем наше веб приложение на уязвимости
|Наличие веб-сайта или приложения очень распространенное явление, не все владельцы являются при этом техническими специалистами в сфере веб разработки или администрирования, их сайты очень часто взламывают, сливают трафик, дефейсят или выполняют множество других разнообразных манипуляций.
Обычно больше всего внимания уделяется внешнему виду, функционалу, скорости работы сайта, продвижению, а вот про безопасность многие забывают в процессе работы по остальным направлениям. Далее всё идет по обычному сценарию:
- Помогите удалить вредоносный код
- Восстановить сайт
- Расшифровать данные
- В лушчем случае рассылка по пользователям о том, что надо сменить пароли при компрометации БД
- Помогите пожалуйста убрать сайт из антиспамовой БД
Чтобы избегать разного рода инцидентов на примере того, что описано выше, стоит хоть иногда заботиться о безопасности вашего продукта, в данном случае — веб-сайта или приложения.
Для выполнения такого типа задач уже есть множество разных интересных решений: автоматические сканеры (обычно платные), нанять специалиста (так же стоит денег), воспользоваться услугами онлаин сервиса (бывают так же платные).
Самое частое явление среди онлаин сервисов по поиску уязвимостей на сайтах — это либо урезанный функционал, либо ограничение на количество проверямых страничек (или выполняемых проверок), либо детализированные отчеты после оплаты. В нашем обзоре мы рассмотрим наиболее приемлемые варианты с точки зрения качества, отсутствия каких либо платежей ну и конечно же репутации.
Предупреждаю сразу, что чего-то сверх от таких сервисов ждать не стоит и никто вам не даст гарантии полной безопасности и отказоустойчивости вашего проекта, но защититься от каких-то типовых угроз и ошибок они все же помогут.
1. Первым делом давайте убедимся, что нас еще не взломали, у нас нету вирусов и подозрительной активности, для таких проверок отлично подойдут следующие сервисы:
2. Далее следует проверить ваш сайт на возможные бекдоры и рассылки спама, тут нам помогут такие сервисы как DNSBL и Web Inspector.
Сервис DNSBL выполняет массовую проверку вашего сайта по всем доступным базам данных анти-спам организаций. В случае, если где-то была выявлена спам-активность, то вы сразу это сможете определить (будет отображаться красным). Если вас определили как спамера, а ваш сайт расположен на шаред хостинге, то есть большая вероятность того, что кто-то из ваших соседей был взломан, либо это были вы. Шаред хостинг это когда на одном сервере распологаются сайты множества разных (или одного клиента) клиентов и работают с одного IP адреса. Когда возникают проблемы у кого-то одного — страдают все, выйти из под фильтров при таком раскладе крайне сложно, нужно активно начинать писать в тех. поддержку, по тому старайтесь смотреть в сторону VPS/VDS.
Далее проверяемся на бекдоры, вредоносный код, айфреймы, фишинг с Web Inspector. Он может не всегда корректно определять ваш IP адрес, но в остальном по результатам претензий нет.
Если на предыдущих этапах у нас все хорошо и ничего странного найдено не было, то значит не все так плохо, как некоторые могут себе представлять. И так, теперь переходим к защитным мерам по определению возможных уязвимостей и ошибок конфигурации вашего сайта и веб-сервера.
3. Проверяем настройки заголовков с SecurityHeaders:
Этот сервис выявляет слабые стороны конфигурации заголовков на вашем веб-сервере, если всё плохо — то стоит обратить внимание на рекомендации которыми с вами поделится этот сервис сразу после выполнения проверки. Если вы не хотите, чтобы ваш сайт участвовал в открытом рейтинге, то поставьте галочку до старта проверки в «Hide results». Помогает избегать проблем с перехватом сессии, clickjacking, XSS.
4. На четвертом этапе будем сканировать наш сайт на потенциальные уязвимости, устаревшие версии ПО, в случае работы сайта по протоколу SSL/TLS — проверка использования аткуального протокола и корректной конфигурации. Некоторые сервисы выполняют проверку по перечню OWASP TOP10, что является несомненно полезной функцией, так как это список самых распространенных и популярных типов уязвимостей.
Первым и возможно самым известны сервисом для такого типа проверок будет конечно же Acunetix. Кроме платного десктопного ПО они так же предоставляют доступ к бесплатному онлаин сканеру, всё что нужно сделать — просто зарегистрироваться заполнив простую анкету и начать сканирование вашего сайта.
Acunetix очень хорошо умеет определять и выявлять такие типы уязвимостей как SQL Injection, XSS, CSRF, RFI/LFI, Directory Listing и многие другие из числа OWASP TOP10. Кроме информации об уязвимостях, он так же выдаст вам и некоторые типовые рекомендации по их устранению.
Sucuri будем использовать для определения устаревших CMS (работает с множеством разных систем управления сайтом: WordPress, Joomla, Drupal и т.д.). Кроме этого, он может еще находить ссылки и скрипты размещенные на сайте, а так же выполнять массовую проверку по базам данных разных антивирусных вендоров.
Так же еще хотелось бы упомянуть такие сервисы как:
Все три продукта приведенных выше, выполняют комплексную проверку вашего сайта (и в некоторых случаях сервера), работают с классификацией OWASP TOP10, помогают типовыми рекомендациями по устранению проблем, могут определять к примеру проблемы в настройках работы по протоколу SSL/TLS, выявлять устаревшие версии CMS.
В некоторых сервисах требуется подтерждать владение сайтом который вы собираетесь просканировать, обычно это выливается в: добавление DNS записи, добавление HTML кода на страничку, подтверждение по электронной почте связаной с вашим доменом.
Не стоит забывать и о своих личных функциях, в которые должны входить такие обязанности как:
- Использование уникальных и сложный паролей
- Переодическое обновление паролей
- Стараться не использовать стандартные имена пользователя для учетной записи администратора, а так же стандартные пути к панели управления администратора
- Следить обновлениями используемого ПО
- Не добавлять на свой сайт сомнительные скрипты, плагины, дополнения, не использовать взломанные темы (в них часто вшивают бекдоры или вредоносный код)
Результаты своей деятельности по выполнению проверок, а так же полученные отчеты лучше всего сохранять и вести историю. Так будет всегда проще отследить возможные проблемы и потенциальные угрозы. Не забывайте делать резервные копии вашего сайта и базы данных, потому как не всегда можно исправить все изменения внесенные хакерами, иногда менее трудозатратно откатиться с бекапов.
Может быть интересно: