Acunetix web vulnerability scanner

Анализ сайта на уязвимости онлайн

Опубликовано в Проверка веб-сайтов   18 Июля, 2017

В начале февраля 2017 года многие сайты на Вордпресс, которые не успели обновиться до актуальной версии, подверглись хакерским атакам. Хакеры заменили содержание последней записи или статьи на свою подпись. Причиной взлома стала уязвимость в версии CMS.

Поиск уязвимостей на сайте

Это было относительно безобидная атака — восстановить содержание последней записи относительно просто.

Но иногда владельцы ресурсов навсегда теряют доступ к своим сайтам, у них воруют платежные данные клиентов или трафик.

Один из способов защиты от взлома — регулярное тестирование сайта на уязвимости разными сервисами.

Какие уязвимости на сайте можно обнаружить во время анализа?

Уязвимости могут быть и на самописных движках, и на платных CMS. От них не застрахован никто. Владельцы сайтов, у которых нет возможности содержать штатного программиста, часто либо вообще не мониторят сайт на уязвимости, либо используют платные или бесплатные сервисы для анализа сайта.

Использование сервисов для поиска уязвимостей не гарантирует, что сайт не взломают. Их возможности ограничены, поэтому чаще всего они могут найти только некоторые ошибки:

  • XSS-инжекты (Cross Site Scripting injection) — на ваш сайт могут добавить кусочек стороннего кода на любую страницу сайта. Через эту уязвимость хакеры могут собрать персональную и платежную информацию ваших пользователей. Например, данные банковских карт или емейлы.
  • SQL-инжекты — через них можно получить доступ к базе данных сайта, редактированию и добавлению файлов на сайт. Хакеры могут украсть ваш сайт или удалить важную информацию с него.

Как выбрать сервис для тестирования сайта на уязвимости?

Есть три типа сервисов для поиска уязвимостей и ошибок на сайте — программы, требующие установки на компьютер, онлайн- и облачные сервисы.

Программы для поиска уязвимостей

Программу нужно скачать и установить на свой компьютер. Потом запустить проверку сайта. На форумах специалисты пишут, что таким способом можно найти наибольшее число уязвимостей и ошибок.

Но чтобы исправить все эти ошибки, вам придется разбираться самостоятельно или обратиться за помощью к разработчику.
Программа ищет уязвимости и ошибки не постоянно, а только когда вы запускаете проверку. Поэтому, чтобы находить ошибки раньше хакеров, проверяйте сайт почаще.
Пример программы для тестирования сайта на ошибки и уязвимости: SQLmap.

Чтобы установить программу sqlmap, перейдите на страницу загрузки и скачайте архив

Онлайн-сервисы

Для работы с онлайн-сервисами ничего скачивать и устанавливать не нужно. Они работают в браузере.
Некоторые сервисы просто выдают список уязвимостей и ошибок. Другие (например, coder-diary.ru) дают не только список, но и подсказывают их как устранить.

Пример рекомендации по устранению уязвимости в сканере от coder-diary.ru
Разные сервисы могут находить разные ошибки. Мы рекомендуем проверять ошибки сразу в нескольких сервисах, чтобы получить максимально полный отчет.
Также обратите внимание, что некоторые онлайн-сервисы для анализа сайтов могут быть платными.

Примеры сервисов:

  • Сканер уязвимостей сайта от coder-diary.ru
  • Website Grader

Результаты сканирования сайта в Website Grader

Облачные сервисы

Сканируют сайт с помощью файла, который владелец сайта должен разместить в корневом каталоге сайта.
После подключения сайта мониторинг на уязвимости и ошибки проходит в онлайн режиме.

При возникновении угрозы владельцу сайта на электронную почту приходит письмо с описанием угрозы, вероятной причиной ее возникновения и рекомендованными путями решения проблемы.
Этот способ предпочтителен, если над сайтом одновременно работают несколько человек и могут случайно или намеренно добавить уязвимый php-код.
К сожалению, в бесплатном доступе подобных сервисов нет — за эту услугу нужно ежемесячно платить.
Пример такого сервиса — VirusDie.

Внешний вид отчетов в VirusDie

Что делать после того, как я нашел уязвимости?

Если вы знаете, как исправить ошибку — исправляйте. Если доступы к файлам и дыры в коде для вас дремучий лес, то лучше постараться в этом разобраться или найти хорошего программиста.
Иногда сервисы для диагностики сайта на уязвимости могут выдать ложные ошибки. Поэтому при их исправлении руководствуйтесь, прежде всего, здравым смыслом или обратитесь к программистам.

Инструмент «Сканер уязвимости сайтов» (сканер ошибок) выявляет основные проблемы в системе доступа к управлению сайтом. «Дыры» в программном обеспечении, которое используется на вашем сайте, могут приводить к потере конфиденциальности и разглашению данных.

Из-за вирусов, SQL-инъекций или незамеченных ошибок в коде на сайте могут появляться способы доступа к конфиденциальным данным, не предусмотренные изначальной спецификацией системы. Сканер уязвимости веб-приложений отправляет основные запросы, поддерживаемые протоколом передачи данных HTTP/HTTPS. Запросы типа GET открытые запросы к сайту в адресном поле. Они используются для получения информации с сервера без изменения данных. Запросы тип POST скрытые запросы к сайту, не имеющие, в отличие от GET-запросов, ограничений по размерам и скрывающие передаваемые данные. Они используются, к примеру, при регистрации либо введении паролей на сайте. Для POST-запросов инструмент однократно использует данные только из формы проверяемой страницы. Ответы на эти запросы и дают данные о возможных уязвимостях системы.

Бесплатная онлайн проверка на SQL инъекции

SQL инъекции – это серьёзные ошибки веб-сайтов и приложений, они вызваны недостаточной фильтрацией вводимых пользователем данных, либо ошибками в логике работы программы. Если имеется эксплуатируемая SQL инъекция, то это всегда приводит к утечке данных (иногда не только для уязвимого сайта, но и для других баз данных), а также в некоторых случаях позволяет злоумышленнику получить доступ к файловой системе.

Нужно вводить не главный адрес сайта, а пример страницы, в которой присутствует «пользовательский ввод». К примеру, если мы хотим проверить сайт zalinux.ru, то мы ищем страницу с переменным параметром.

К примеру, это страница zalinux.ru/?p=411, здесь параметр p= является переменным и позволяет передавать данные на сервер. Для сайта relax-nk.ru примером такой страницы может стать relax-nk.ru/rub.php?id=5

Проверка полностью бесплатна, она осуществляется с помощью программы SQLMap.

Примеры ввода:

  • relax-nk.ru/rub.php?id=5
  • zalinux.ru/?p=411
  • kali.tools/?p=816

Сканер уязвимостей сайтов онлайн IBVS

Сканер уязвимостей сайтов, создан для поиска угроз безопасности сайтов, а также ошибок публикации ресурсов, которые обнаруживаются на поверхности.

Основные функции сканера уязвимостей сайтов:

— Поиск SQL инъекций, XSS атак, иных угроз безопасности
— Обнаружение критических ошибок / сбоев сайта
— Проверка корректности публикации сайта

Особенности работы сканера уязвимостей сайтов:

Сканер исследует все страницы сайта, на которые обнаруживает ссылки, идущие с главной страницы.
Глубина поиска ссылок — 2 уровень.

Итоговый отчет:

По результатам сканирования, предоставляется детализированный отчет с подробным описанием обнаруженных угроз и способами их устранения.

Безопасность сайта

Сканер абсолютно безопасен для тестируемых сайтов.

Сканер не может взломать сайт, т.к. в его функционал не внесены «боевые» коды и практические приемы эксплуатации уязвимостей. Все угрозы безопасности определяются на уровне маркеров уязвимостей.

Добавить комментарий

Закрыть меню