Сканируйте свой сайт, блог на наличие уязвимостей в системе безопасности, вредоносных программ, троянов, вирусов и онлайн-угроз. Одна из самых актуальных тем в области информационных технологий – веб-безопасность. Сегодня существуют сотни веб-уязвимостей, и ниже приведены некоторые из наиболее распространенных.
Мы часто уделяем внимание дизайну сайта, SEO и содержанию и недооцениваем область безопасности. Как владелец сайта, веб-безопасность должна иметь большее значение, чем что-либо другое. Было много вопросов о том, как сканировать безопасность сайта и уязвимости мобильных приложений, так что вот, пожалуйста. В этой статье будут перечислены некоторые из лучших инструментов для сканирования вашего сайта на предмет уязвимостей безопасности, вредоносных программ и онлайн-угроз.
Топ-13 бесплатных онлайн-инструментов для сканирования уязвимостей и вредоносного ПО для безопасности веб-сайтов
SUCURI
SUCURI – один из самых популярных бесплатных сканеров вредоносных программ и безопасности веб-сайтов. Вы можете провести быструю проверку на наличие вредоносных программ, состояние черного списка, вводимый СПАМ и исправления.
SUCURI также помогает очистить и защитить ваш сайт от онлайн-угроз и работает на любой платформе сайта, включая WordPress, Joomla, Magento, Drupal, phpBB и т.д.
Qualys
SSL Server Test от Qualys необходим для сканирования вашего сайта на предмет неправильной конфигурации и уязвимостей SSL/TLS. Он обеспечивает глубокий анализ вашего URL https://, включая день истечения срока действия, общий рейтинг, шифр, версию SSL/TLS, имитацию рукопожатия, детали протокола, BEAST и многое другое.
В качестве лучшей практики, вы должны запускать тест Qualys после внесения любых изменений, связанных с SSL/TLS.
HostedScan Security
HostedScan Security – это онлайн-сервис, автоматизирующий сканирование уязвимостей для любого предприятия. Он предоставляет полный набор сканеров для сканирования сетей, серверов и веб-сайтов на предмет рисков безопасности. Управление рисками осуществляется с помощью информационных панелей, отчетов и предупреждений.
Сканеры включают в себя:
- Сканер сетевых уязвимостей для проверки CVE и уязвимого, устаревшего программного обеспечения.
- Сканер веб-приложений для проверки на наличие SQL-инъекций, уязвимых библиотек javascript, межсайтового скриптинга и т.д.
- Полный сканер TCP и UDP портов для обнаружения неправильной конфигурации брандмауэра и сети.
- Сканер TLS/SSL для проверки сертификатов и тестирования на уязвимости SSL, такие как Heartbleed и Robot.
HostedScan Security предлагает бесплатный уровень, включающий 10 сканирований в месяц, что позволяет легко и просто начать сканирование и обеспечение безопасности вашего бизнеса.
Intruder
Intruder – это мощный облачный сканер уязвимостей для поиска слабых мест во всей инфраструктуре веб-приложений. Он готов к использованию на предприятиях и предлагает механизм сканирования безопасности правительственного и банковского уровня без каких-либо сложностей.
Его надежные проверки безопасности включают выявление:
- Отсутствующие исправления
- Неправильная конфигурация
- Проблемы веб-приложений, такие как SQL-инъекции и межсайтовый скриптинг
- Проблемы CMS
Intruder экономит ваше время, определяя приоритетность результатов на основе их контекста и проактивно сканируя ваши системы на наличие последних уязвимостей. Он также интегрируется с основными облачными провайдерами (AWS, GCP, Azure), Slack и Jira. Вы можете попробовать Intruder бесплатно в течение 30 дней.
Quttera
Quttera проверяет сайт на наличие вредоносных программ и уязвимостей.
Сканирует ваш сайт на наличие вредоносных файлов, подозрительных файлов, потенциально подозрительных файлов, PhishTank, Safe Browsing (Google, Yandex) и списка доменов вредоносных программ.
UpGuard
UpGuard Web Scan – это внешний инструмент оценки рисков, который использует общедоступную информацию для выставления оценок.
Результаты тестирования делятся на следующие группы.
- Риски веб-сайта
- Риски электронной почты
- Сетевая безопасность
- Фишинг и вредоносное ПО
- Защита бренда
Полезно для быстрого определения уровня безопасности вашего сайта.
SiteGuarding
SiteGuarding поможет вам проверить ваш домен на наличие вредоносных программ, черных списков сайтов, инжектируемого спама, порчи и многого другого. Сканер совместим с WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другими платформами.
SiteGuarding также помогает удалить вредоносное ПО с вашего сайта, поэтому если ваш сайт поражен вирусами, он будет полезен.
Observatory
Mozilla недавно представила Observatory, которая помогает владельцу сайта проверить различные элементы безопасности. Она проверяет безопасность заголовков OWASP, лучшие практики TLS, а также выполняет тесты сторонних производителей SSL Labs, High-Tech Bridge, Security Headers, HSTS Preload и т.д.
Web Cookies Scanner
Web Cookies Scanner – это бесплатный универсальный инструмент безопасности, подходящий для сканирования веб-приложений. Он может искать уязвимости и проблемы конфиденциальности в HTTP-куки, Flash-апплетах, HTML5 localStorage, sessionStorage, Supercookies и Evercookies. Инструмент также предлагает бесплатный сканер вредоносных URL-адресов и сканер уязвимостей HTTP, HTML и SSL/TLS.
Чтобы воспользоваться этим инструментом, вам нужно ввести полное доменное имя вашего сайта и нажать на Check! Через некоторое время вы получите полный отчет об уязвимостях с подробным описанием всех найденных проблем и общей оценкой влияния на конфиденциальность. Вы можете использовать услугу по требованию бесплатно без ограничений, или подписаться на бесплатную пробную версию полностью автоматизированного RESTful API с различными планами, которые предлагают от 100 до неограниченного количества сканирований API в месяц.
Detectify
Полностью поддерживаемая этичными хакерами, служба безопасности домена и веб-приложений Detectify предлагает автоматизированный мониторинг безопасности и активов для обнаружения более 1500 уязвимостей.
Его возможности сканирования уязвимостей включают OWASP Top 10, CORS, Amazon S3 Bucket и неправильную конфигурацию DNS. Служба мониторинга активов непрерывно отслеживает поддомены, ищет враждебные захваты и оповещает при обнаружении аномалий. Detectify предлагает три ценовых плана: Starter, Professional и Enterprise. Все они начинаются с 14-дневной бесплатной пробной версии, которой можно воспользоваться без использования кредитной карты.
Probely
Probely предоставляет виртуального специалиста по безопасности, которого вы можете добавить в команду разработчиков, команду безопасности, DevOps или SaaS-бизнес. Этот специалист по безопасности просканирует ваше веб-приложение и найдет все его уязвимости. Вы можете считать Probely семейным доктором, который проводит периодическую диагностику и говорит вам, что делать, чтобы устранить любую проблему.
Это инструмент, созданный в основном для разработчиков, позволяющий им быть более независимыми, когда дело доходит до тестирования безопасности. Его подход к разработке API-First гарантирует, что любые функции будут сначала доступны в версии API сервиса. У него много тарифных планов, включая бесплатный с небольшим объемом сканирования.
Pentest-Tools
Сканер уязвимостей веб-сайтов – это комплексный набор инструментов, предлагаемый компанией Pentest-Tools, который представляет собой решение для сбора информации, тестирования веб-приложений, тестирования CMS, тестирования инфраструктуры и тестирования SSL. В частности, сканер веб-сайтов предназначен для обнаружения распространенных уязвимостей веб-приложений и проблем с конфигурацией сервера.
Компания предлагает Light-версию инструмента, который выполняет пассивное сканирование веб-безопасности. Она может обнаружить множество уязвимостей, включая небезопасные настройки cookie, небезопасные HTTP-заголовки и устаревшее серверное программное обеспечение. Вы можете провести до 2 бесплатных полных сканирований вашего сайта, чтобы получить всестороннюю оценку. Результаты расскажут вам о таких уязвимостях, как включение локальных файлов, инъекция SQL, инъекция команд ОС, XSS и других.
ImmuniWeb
Один из популярных сканеров безопасности веб-сайтов, ImmuniWeb, проверяет ваш сайт на соответствие следующим стандартам.
- Соответствие стандартам PCI DSS и GDPR
- HTTP-заголовки, включая CSP
- Специфический тест CMS для сайтов WordPress и Drupal
- Уязвимости библиотек фронтенда
Если вы используете WordPress, то вы можете проверить свой сайт с помощью WordPress Security Scanner.
Заключение
Вышеперечисленные сканеры безопасности хороши для однократного или многократного тестирования по требованию. Однако, если вам необходимо регулярное сканирование, лучше воспользоваться сканером уязвимостей с открытым исходным кодом или SaaS.
