No Image

Программа для поиска уязвимостей на сайте

СОДЕРЖАНИЕ
526 просмотров
10 марта 2020

Одним из наиболее важных вопросов в области информационных технологий является безопасность. Знаете ли вы, что 96% тестируемых приложений имеют уязвимости?

Ниже приведена диаграмма от Cenzic, на которой показаны различные типы найденных уязвимостей.

В этой статье я расскажу о бесплатных инструментах для сканирования сайта на наличие уязвимостей и вредоносных программ.

Список рассматриваемых инструментов:

  • Scan My Server;
  • SUCURI;
  • Qualys SSL Labs, Qualys FreeScan;
  • Quttera;
  • Detectify;
  • SiteGuarding;
  • Web Inspector;
  • Acunetix;
  • Asafa Web;
  • Netsparker Cloud;
  • UpGuard Web Scan;
  • Tinfoil Security.

1. Scan My Server

ScanMyServer предоставляет один из самых полных отчетов по тестам безопасности: SQL-инъекциям, межсайтовому скриптингу, инъекциям PHP-кода, раскрытию источника, установке HTTP-заголовков и многое другое.

Отчет о проверке отправляется по электронной почте с кратким описанием найденных уязвимостей.

2. SUCURI

SUCURI является самым популярным бесплатным сканером вредоносных программ. Вы можете быстро протестировать сайт на наличие вредоносного кода, SPAM-инъекций и его присутствие в различных черных списках.

SUCURI также очищает и защищает сайт от онлайн-угроз. Инструмент работает на любых CMS, включая WordPress, Joomla, Magento, Drupal, phpBB и т. д.

3. Qualys SSL Labs, Qualys FreeScan

SSL Labs является одним из популярных инструментов для сканирования веб-сервера SSL. Он обеспечивает углубленный анализ https URL-адреса, общий рейтинг, шифр, версию SSL / TLS, имитацию рукопожатий, информацию о протоколе, BEAST и многое другое.

FreeScan проверяет сайты на OWASP Top Risks и вредоносные программы, по параметрам безопасности SCP, а также выполняет другие тесты. Чтобы выполнить сканирование, необходимо зарегистрировать бесплатную учетную запись.

4. Quttera

Quttera проверяет сайт на наличие вредоносных программ и уязвимостей.


Этот инструмент сканирует сайт на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, phishTank, а также присутствие в списках безопасного просмотра (Google, Yandex) и списках вредоносных программ.

5. Detectify

Detectify — это сканер сайта, основанный на SaaS. Он позволяет проводить более 100 автоматических тестов безопасности, включая тест OWASP Top 10, наличие вредоносного программного обеспечения и многие другие.

Detectify предоставляет 21-дневную бесплатную ознакомительную версию.

6. SiteGuarding

SiteGuarding позволяет проверить домен на наличие вредоносного программного обеспечения, присутствия в черных списках, инъекций спама и многого другого.

Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.

SiteGuarding также помогает удалить вредоносное программное обеспечение с сайта.

7. Web Inspector

Web Inspector сканирует сайт и предоставляет отчеты — «черный список», «фишинг», «вредоносные программы», «черви», «бэкдоры», «трояны», «подозрительные фреймы», «подозрительные подключения».

8. Acunetix

Acunetix проверяет весь сайт на наличие более 500 различных уязвимостей.

Инструмент предоставляет бесплатную пробную версию на 14 дней.

9. Asafa Web

AsafaWeb предлагает сканирование трассировки, пользовательских ошибок, трассировки стека, патча Hash DoS, журнала EMLAH, HTTP Only Cookies, Secure Cookies, Clickjacking и многого другого.

Читайте также:  Как в авасте добавить файл в исключение

10. Netsparker Cloud

Netsparker Cloud — это сканер безопасности корпоративных веб-приложений, который способен обнаружить более 25 критических уязвимостей. Он бесплатен для проектов с открытым исходным кодом. Также можно запросить пробную версию инструмента.

11. UpGuard Web Scan

UpGuard Web Scan — это инструмент оценки внешних рисков, который использует общедоступную информацию по различным факторам, включая SSL, атаки Clickjack, Cookie, DNSSEC, заголовки и т. д. Он все еще находится на стадии бета-тестирования, но его стоит попробовать.

12. Tinfoil Security

Tinfoil Security сначала проверяет сайт на наличие 10 уязвимостей OWASP, а затем на другие известные угрозы. В конечном итоге вы получите отчет о действиях и сможете повторно просканировать сайт после внесения необходимых исправлений.

Полная настройка займет около 5 минут. Просканировать сайт можно даже если он защищен или для входа на него требуется регистрация.

Одним из основных факторов безопасности любого сайта является постоянный контроль, поэтому вы получите уведомление, когда он дает сбой или подвергается взлому.

Перечисленные инструменты позволяют сканировать сайт по запросу и запланировать автоматическую проверку безопасности. Надеюсь, что приведенный список специализированных средств поможет вам выполнить проверку безопасности сайта.

Данная публикация представляет собой перевод статьи « 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware » , подготовленной дружной командой проекта Интернет-технологии.ру

METASCAN

Сканер уязвимостей для web-сайтов и сетей.

Arctic Wolf Managed Risk

Решение для поиска уязвимостей и анализа конечных точек.

Kube-hunter

Инструмент для обнаружения проблем безопасности в кластерах Kubernetes/

Nsauditor Network Security Auditor

Nsauditor Network Security Auditor – сетевой сканер, служащий для осуществления диагностики и мониторинга сетевых компьютеров на предмет обнаружения возможных проблем в системе безопасности.

RiskSense Attack Surface Validation for Election Systems

Инструмент для обнаружения уязвимостей в избирательных системах.

ScanOVAL

Инструмент для обнаружения уязвимостей.

Sysdig Secure

Платформа для определения уязвимостей для разработчиков и специалистов по безопасности.

Приложение для проверки устройств в локальной сети на наличие уязвимостей.

Windows Vulnerability Scanner

Небольшая бесплатная утилита, которая сканирует операционные системы Windows на предмет обнаружения возможных уязвимостей в системе безопасности ОС и подбора соответствующих патчей для их устранений.

Android Network Toolkit – Anti

Сетевой сканер уязвимостей для Android.

BBQSQL

BBQSQL – это фреймворк, созданный специально для быстрого проведения SQL-инъекций.

Rapid7 Nexpose

Многофункциональный корпоративный сканер уязвимостей предназначенный для обеспечения информационной безопасности.

sqlmap

sqlmap – это инструмент для проведения тестирования на проникновение.

Core Impact

Автоматизированный продукт для тестирования несанкционированных проникновений в систему.

Nikto

Nikto – мощный perl сканер уязвимостей Web сервера, с поддержкой SSL. Позволяет определять различие между версиями уязвимых компонентов.

Читайте также:  Lineage os nokia 5

Burp Suite

Набор инструментов для атаки web-приложений.

Nessus Scanner

Сканер Nessus является мощным и надежным средством, которое относится к семейству сетевых сканеров, позволяющих осуществлять поиск уязвимостей в сетевых сервисах, предлагаемых операционными системами, межсетевыми экранами, фильтрующими маршрутизаторами и другими сетевыми компонентами.

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner автоматизирует задачу контроля безопасности Web приложений.

MagicTree

Magic Tree – это инструмент для повышения производительности тестов на проникновение.

Сканер уязвимостей от Microsoft.

SAINT

SAINT (Security Administrator’s Integrated Network Tool) используется для обнаружения уязвимостей на удаленных системах.

QualysGuard

Многофункциональный сканер уязвимостей.

X-Scan

многопоточный сканер уязвимостей от X-FOCUS

ISS Internet Scanner

Самый мощный сканер уязвимостей на сегодняшний день.

Введение

WordPress имеет много почитателей и много противников, главный аргумент которых – платформа слишком подвержена риску взлома, ее постоянно атакуют хакеры и боты.

Доля справедливости в их мнении есть – движок WordPress действительно имеет множество недочетов, которыми пользуются злоумышленники. Компания Sucuri рассказала , что в третьем квартале 2016 года 74% всех случаев уязвимости и заражения сайтов пришлись на сайты с CMS WordPress.

У многих после прочтения подобных новостей в голове начинают крутиться вопросы «А безопасная ли эта платформа? Стоит ли использовать ее на своем сайте?» Хотя на самом деле подумать нужно о другом – что можно сделать, чтобы сделать ваш сайт более защищенным?

Подходить к решению этой задачи можно только комплексно: стоит подумать о файерволе, защищающих, в том числе антивирусных плагинах и так далее. Однако стоит подумать о возможностях защиты и вне WordPress – онлайн-сканеры могут найти те бреши в вашем сайте, о которых вы даже не догадывались.

Ниже я расскажу о 7 полезных онлайн-сервисах – сканерах, которые помогут определить, если на вашем сайте:

  • несанкционированные перенаправления, рекламные материалы или бэклинки (внешние ссылки);
  • вредоносные программы;
  • хотлинки;
  • инфицированные плагины или темы;
  • и многое другое.

1 Hacker Target WordPress Security Scan

Этот сканер заточен специально под поиск проблемных элементов на WP сайте. Он анализирует темы и плагины, а также другие элементы сайта, которые могут содержать зловредный код.

Бесплатный анализ включает в себя проверки:

  • необходимости обновить версию WordPress;
  • необходимости обновить версию плагинов;
  • проблем с ID пользователя и так далее.

2 Scanurl

Ссылка : https://scanurl.net/

Это достаточно простой сканер, который расскажет о таких вещах:

  • пометил ли кто-нибудь ваш сайт как небезопасный;
  • пройдет ли сайт тест Google Safe Browsing ;
  • есть ли на вашем сайте файл PhishTank;
  • есть ли в Web of Trust негативные оценки вашего сайта.

Дополнительно сканер дает ссылки на ресурсы с другими сканерами безопасности.

3 Sucuri Website Malware and Security Scanner

Этот онлайн-сканер не даст вам детальную информацию, но в целом проанализирует следующее:

  • стоит ли старая версия WordPress;
  • проблемы (или вообще отсутствие) файервола;
  • домен находится в черном списке в некоторых системах безопасности (Google, Norton и т.п.);
  • список ссылок, расположенных на вашем сайте (вдруг там есть те, которые вы не добавляли);
  • список скриптов (опять же, на тот случай, если какие-то из них вы увидите в первый раз).
Читайте также:  Четырехзначное число записанное в восьмеричной системе счисления

Sucuri – это качественный сканер, который найдет и отобразит информацию о возможных проблемах.

4 SiteGuarding.com

SiteGuarding.com работает примерно так же, как и остальные сканеры в этом списке. Но стоит отдельно отметить удобное и симпатичное отображение результатов сканирования.

Даже начинающий пользователь WordPress сможет разобраться, как пользоваться этим инструментом, и где находятся проблемные места сайта.

Что конкретно покажет SiteGuarding.com:

  • устаревшую версию WordPress;
  • нахождение сайта в черных списках;
  • обнаружение файервола;
  • анализ внутренних ссылок;
  • список плагинов, тем и скриптов (для того, чтобы проверить, что там нет неизвестных вам элементов).

5 UpGuard

Онлайн-сканер от UpGuard стоит выделить уже хотя бы потому, что он показывает анализ безопасности в формате геймификации. После сканирования вы получите определенное количество баллов, в зависимости от следующих факторов:

  • установлен ли у вас SSL-сертификат;
  • есть ли защита доменного имени;
  • замечено ли на сайте вредоносное ПО;
  • открытая информация о сервере;
  • включена ли SPF (Sender Policy Framework, инфраструктура политики отправителя);
  • и многое другое.

6 WP Neuron WordPress Vulnerability Scanner

Этот сканер предназначен специально для сайтов, работающих на WordPress. Сканируются плагины и темы вашего сайта, поэтому если смысл воспользоваться им, если вам кажется, что в этих элементах могут быть какие-либо проблемы. Традиционно сканер также расскажет, актуальная ли у вас версия WordPress, все ли хорошо с robots.txt, и обо всех странностях, которые заметит на вашем сайте (но основная информация все равно будет именно о плагинах и темах).

7 WPRecon WordPress Uptime & Security Monitoring

В целом этот сканер похож на Hacker Target WordPress Security Scan (который шел под номером один), но есть три ключевых различия. Помимо основной информации, сканер также предоставляет данные о:

  • внутренних ссылках;
  • JavaScript ссылках;
  • iFrame ссылках.

Эта информация поможет намного быстрее заметить и исправить любые проблемы, о которых в противном случае вы бы даже не догадывались.

Как часто пользоваться сканерами?

Проверка уязвимостей и возможных проблем на сайте – это регулярная процедура, которую следует производить хотя бы раз в месяц, но лучше чаще, так как взлом может принести вам немало проблем.

В конце статьи я хочу дать несколько общих советов по защите своего сайта (опытным пользователям они могут показаться банальными, но новичкам будут полезны).

Комментировать
526 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock
detector