Статья подготовлена для студентов курса «Пентест. Практика тестирования на проникновение» в образовательном проекте OTUS.
Общедоступные веб-приложения интересны злоумышленникам в качестве инструментов заработка. И это неудивительно, ведь спектр применения полученной путём взлома информации весьма широк: от платного предоставления доступа к вашему же ресурсу, до использования его в бот-сетях. В данном случае личность владельца не столь важна, ведь процесс взлома сегодня автоматизирован и поставлен на поток. А стоимость украденной информации зависит от степени известности и влиятельности компании.
Как говорят хакеры, если задаться целью, уязвимость можно найти практически всегда. Помните об этом и не тешьте себя иллюзиями о неприступности своего веб-ресурса.
В программу нашего курса «Пентест. Практика тестирования на проникновение» входит целый модуль, посвящённый разбору уязвимостей веб-приложений (Web Pentest). Но прежде чем искать уязвимости вручную и приступать к тестированию на проникновение, надо проверить веб-приложение автоматизированными средствами.
Инструменты, представленные ниже, используются для первичного анализа защищённости и помогают закрыть первоочередные проблемы по технической информационной защите сайта.
Онлайн-сервисы для анализа защищённости
Предлагаем вашему вниманию топ-7 инструментов:
1. SecurityHeaders.io. Служит для проверки заголовков ответа сервера на наличие и корректность.
2. Observatory by Mozilla. Сканирует веб-ресурс на наличие общих проблем безопасности. При выборе соответствующей опции соберёт и добавит к отчету аналитику со сторонних сервисов.
3. One button scan. Анализирует компоненты ресурса: DNS, SSL, HTTP-заголовки, используемые сервисы, чувствительные данные.
4. CSP Evaluator. Выполняет проверку правильности составления политики безопасности содержимого (CSP), анализирует устойчивость к XSS.
5. SSL Server Test. Cделает анализ SSL-конфигурации веб-сервера.
6. ASafaWeb. Проверит на наличие распространённых уязвимостей конфигурации веб-сайтов, написанных на ASP.NET.
7. Snyk. Выполнит сканирование JavaScript-, Ruby- и Java-приложений на наличие уязвимостей. Интегрируется с GitHub для выполнения автоматической проверки, оповещает о найденных уязвимостях.
В результатах автоматизированного онлайн-тестирования вы можете увидеть всевозможные разновидности потенциальных угроз. И к каждой выявленной проблеме будет приложено разъяснение. Используя его, исправьте наиболее критические замечания, а потом просканируйте веб-ресурс повторно, дабы убедиться в правильности принятых мер.
Остаётся добавить, что перед началом сканирования веб-приложений онлайн-сервисами, следует посмотреть условия их использования. Дело в том, что некоторые из сервисов публикуют отчёты о проверенных веб-сайтах в открытом виде.