Проверить, насколько защищён ваш сайт - раньше это стоило сотни долларов.
Допустим, вы ведёте небольшой сайт или интернет-магазин. Всё работает, заказы идут. А потом кто-то находит слабое место в защите и уносит базу данных с именами и телефонами ваших клиентов. Или просто роняет всё в самый неподходящий момент.
Профессиональные инструменты для такой проверки существуют давно. Самый известный из них - Burp Suite Pro - стоит несколько сотен долларов в год только за базовую лицензию. Другие решения из той же категории ещё дороже. Логика простая: раньше такими инструментами пользовались только компании с отдельным бюджетом на безопасность.
Deep Eye - бесплатная программа с открытым кодом, которая берётся за ту же задачу. Написана на Python (один из самых популярных языков программирования - он используется везде от научных расчётов до веб-сервисов), работает на вашем компьютере, никуда ничего не отправляет без вашего ведома.
Что Deep Eye проверяет за один запуск
На странице проекта перечислено более 45 способов проверки. Что это значит на практике?
Основные слабые места сайтов - давно известный список. SQL-инъекция: когда в поле формы вводят не имя пользователя, а специальную команду для базы данных, и та её выполняет - в результате можно вытащить любые данные. XSS: чужой код оказывается на странице сайта и начинает работать в браузере посетителя - крадёт куки (небольшие файлы, в которых хранится информация о сеансе) или перенаправляет на мошеннический адрес. SSRF: атака, при которой сервер вашего сайта начинает выполнять запросы куда-либо от имени злоумышленника.
Deep Eye проверяет все эти сценарии автоматически. Плюс - менее очевидные вещи: правильность настройки заголовков безопасности (это техническая информация, которую сервер отправляет браузеру и которая влияет на то, что браузеру разрешено делать на странице), уязвимости в авторизации, ошибки в работе файловых загрузок, подделка межсайтовых запросов и так далее.
В версиях 1.1 и 1.2 появились модули для тестирования API - программных интерфейсов, через которые ваш сайт или приложение общаются с другими сервисами. Проверка идёт по методологии OWASP - это международная организация, которая составляет и обновляет список самых распространённых угроз для веб-приложений. Есть и тестирование GraphQL - это особый способ запрашивать данные с серверов, который сейчас используют многие современные веб-сервисы.
Разведочная часть программы умеет собирать публично доступную информацию о сайте: записи DNS (система адресов, которая переводит имена вроде myshop.ru в конкретные адреса серверов), поддомены, данные из открытых баз. Это то, что делает любой профессиональный аудитор безопасности в первую очередь - ещё до того, как начать искать дыры.
Честная оговорка здесь: автоматический сканер не заменяет ручную работу специалиста. Он уверенно находит типичные уязвимости, но сложные логические ошибки, специфичные для конкретного сайта - например, возможность провести оплату в минус - требуют живого человека. Deep Eye сужает круг поиска и снижает стоимость первичной проверки, а не закрывает её полностью.
Зачем сканеру уязвимостей искусственный интеллект
Deep Eye умеет подключаться к нескольким ИИ-провайдерам: OpenAI (разработчик ChatGPT), Grok от xAI, Anthropic (разработчик Claude). Но есть и локальный вариант - OLLAMA. Это значит, что нейросеть работает прямо на вашем компьютере: никаких данных наружу, никаких платных ключей доступа.
ИИ здесь выполняет две роли. Первая - генерация тестовых запросов. Вместо тупого перебора стандартного списка атак нейросеть подбирает такие варианты, которые подходят под структуру конкретного сайта. По описанию проекта, система учитывает известные базы уязвимостей и подстраивает запросы под контекст. Вторая роль - анализ результатов. После сканирования ИИ помогает разобраться, что именно найдено и насколько это критично.
Отдельного внимания заслуживает система обхода защитных фильтров. Многие сайты стоят за WAF - это фильтр, который отбивает подозрительные запросы прямо на подступах. Deep Eye умеет это учитывать и подбирать варианты проверок, которые не натолкнутся на блокировку. В описании проекта указано одиннадцать различных техник для этого. Коммерческие сканеры за такую возможность берут отдельно.
Ещё один модуль из недавних обновлений - анализ аномалий на основе машинного обучения. Программа изучает поведение сайта при запросах и пытается найти отклонения, которые стандартными проверками не поймать. Это уже уровень, который у платных аналогов стоит дополнительных денег.
Отчёт в PDF с резюме для руководителя - уже в комплекте
Красивые отчёты - это то, за что платные сканеры берут деньги отдельно. Deep Eye генерирует их сразу в трёх форматах: PDF, HTML и JSON. Последний нужен, если хотите передать данные в другую систему или обработать результаты программно.
PDF-версия включает краткое резюме - написано так, чтобы его мог прочитать руководитель, которому не нужно знать технические детали. Достаточно первой страницы, чтобы понять: есть ли критичные проблемы, сколько их и какого уровня. HTML-отчёт интерактивный: результаты можно фильтровать и искать прямо в браузере без установки дополнительных программ. По информации со страницы проекта, для PDF на Windows используется библиотека ReportLab, которая работает без лишних танцев с настройкой. Если что-то пойдёт не так - программа автоматически переключится на HTML.
Есть ещё командный режим. Несколько человек могут работать с одной задачей одновременно, распределяя нагрузку. Это полезно для небольших команд или фрилансеров, которые работают в паре. Такой функции в базовых версиях платных аналогов, как правило, нет. Есть и система уведомлений: результаты сканирования можно получать по электронной почте или в мессенджерах.
Честно о пороге входа и ограничениях Deep Eye
Программа написана на Python, для установки нужно поставить несколько дополнительных модулей и прописать ключ хотя бы одного ИИ-провайдера в конфигурационном файле. Для тех, кто не хочет платить за API, - можно установить OLLAMA и работать полностью локально.
Для Windows и Linux есть готовые скрипты, которые автоматизируют большую часть процесса установки. Терминал (окно, куда вводятся текстовые команды) понадобится - один раз, для запуска. Потом всё управление через конфигурационный файл. На странице проекта есть пошаговое руководство по установке.
Уровень сложности - средний. Не «скачал и запустил», но и не «разбираться неделю». Человек, который хотя бы один раз ставил что-то через командную строку, справится за вечер.
Одна принципиальная вещь, которую нельзя обойти стороной: инструмент предназначен исключительно для проверки систем, которыми вы владеете или на проверку которых у вас есть явное письменное разрешение. Разработчики прямо указывают это на странице проекта. Проверять чужой сайт без разрешения - уголовное дело вне зависимости от того, какая программа использовалась.
Проект собрал более 600 отметок «нравится» на странице разработчика и почти 130 ответвлений - это значит, что другие разработчики взяли код за основу для своих решений. Признак живого проекта, которым пользуются, а не просто смотрят.
Я бы назвал Deep Eye случаем, когда бесплатный инструмент с открытым кодом думает шире платного конкурента: командная работа, несколько ИИ на выбор, три формата отчётов, система плагинов для расширения возможностей. Burp Suite Pro в базовой лицензии из коробки не предлагает ни командного режима, ни собственной системы плагинов такого масштаба. Можно поспорить, конечно - жду в комментариях.
Пользовались ли вы когда-нибудь инструментом для проверки безопасности своего сайта или сервера? Или это казалось слишком сложным, чтобы вообще начинать разбираться?
Источник: Deep Eye
🔔 Подпишитесь на КликХак - находим бесплатные программы с открытым кодом, которые заменяют дорогие платные аналоги.