ТОП сервісів для аудиту безпеки сайтів

Mozilla Observatory

Mozilla Observatory – це безкоштовний веб-сервіс від засновників браузера Firefox, допомагає швидко перевірити технічні параметри і оцінити поточний рівень захищеності сайту, застосовуючи інтегровані інструменти та рекомендації від OWASP, Probely, Qualys, ImmuniWeb та інших.

Mozilla Observatory підійде для формування експрес-звітів. Інструмент надає чимало конкретної інформації, яку можна використати для покращення кібербезпеки. Обсерваторія перевіряє запобіжні заходи проти атак типу міжсайтові сценарії (XSS), “людина посередині” (MITM), міждоменного витоку інформації, компрометації cookie, зламу мережі доставки вмісту та неправильно виданих SSL-сертифікатів.

Оцінка формується за шкалою від 0 до 100. Якщо сайт набирає певну кількість балів — йому присвоюється категорія якості “A”, “B”, “C”, “D”, “E”, “F”.

Сервіс має вбудовану підтримку API. Сканер можна використовувати локально, завантаживши з GitHub.

Qualys

Qualys є авторитетним постачальником інструмент з кібербезпеки.  Розглянемо декілька безкоштовних інструментів.

Qualys Community Edition

Qualys Community Edition – це онлайн-платформа для керування безпекою в межах ІТ-інфраструктури. Складається з різних модулів, таких як: Vulnerability Management, Threat Protection, Cloud Agent, Web Application Scanning.

Модуль Web Applications Scanning призначений для сканування/тестування веб-сайтів і веб-додатків.  Для початку необхідно додати в систему новий сайт, задати налаштування (їх безліч, можна створити індивідуальний профіль перевірки, автоматизувати процес з допомогою шаблонів і скриптів) та запустити сканер — на виході отримаємо професійний звіт з кібербезпеки по всім пунктам, зокрема:

• CMS vulnerabilities
• Experimental
• XSS
• XML External Entity (XXE) vulnerabilities
• Clickjacking
• Information Disclosure
• XSS, in request header
• Cross-Site Request Forgery
• Path-Related vulnerabilities
• Authentication & Session Management
• Apache vulnerabilities (Struts & other)
• SQL Injection
• CMS identification (type, version, and plugins)
• Uncategorized
• Open Redirect
• SQL Injection, in request header
• OWASP Top 10 (2017)
• Denial of Service
• Flash-Related vulnerabilities
• SSL/TLS and Certificate issues

Звіт можна звантажити в PDF. Він містить стандартизований опис знайдених вразливостей. Qualys Scanner корисно запускати після оновлень, змін конфігурації, перенесення інфраструктури, адже глибина перевірок є досить високою і допомагає виявити чимало прихованих моментів.

Qualys SSL Labs

Qualys SSL Labs – це ще один безкоштовний онлайн-сервіс, який дозволяє перевірити сервер на захищеність, зокрема перевірити стійкість та якість SSL-сертифікату і TLS-протоколу.

Звіт містить безліч цікавої інформації в технічному плані з найдрібнішими подробицями: де, ким і коли видано SSL-сертифікат, яке шифрування використовується, які TLS-протоколи підтримує сервер, на яких платформах та операційних системах виникають проблеми і багато іншого.

ImmuniWeb

ImmuniWeb Community Edition – це комплекс інструментів для бекзоштовної перевірки веб-ресурсів. Включає такі модулі як: Website Security Test, Cloud Security Test, Email Security Test, Mobile App Security Test, SSL Security Test, Dark Web Exposure Test. Доступний безкоштовний моніторинг безпеки, а також API і CLI-інтерфейс.

В модулі Website Securtiy Test на основі зібраних даних та метрик, підсумовується оцінка захищеності ресурсу та присвоюється категорія “A”, “B”, “C” або “F”.

Електронний звіт складається з таких розділів:

1. Summary
2. Web Server Security Test
3. Web Software Security Test
4. GDPR Compliance Test
5. PCI DSS Compliance Test
6. HTTP Headers Security
7. Content Security Policy Test
8. Cookies Privacy and Security Analysis
9. External Content Privacy and Security Analysis

Звіт можна завантажити у форматі PDF.

Detectify

Detectify – це онлайн-сервіс для тестування і аудиту кібербезпеки електронних ресурсів. Detectify працює як DAST-сканер, який перевіряє захищеність веб-ресурсів шляхом імітації різноманітних атак: XSS, SQL-ін’єкції, DDOS, Email-flood, перевірка аутентифікації та багато іншого. В основі перевірок – список OWASP Top 10.

Для початку роботи необхідно зареєструватися, додати домен та підтвердити право власності на нього, додавши запис в DNS або завантаживши текстовий файл у кореневу теку сайту.

На час сканування варто бути готовим до того, що сайт може працювати з перебоями –  це пов’язано з агресивним скануванням Detectify.

В результаті отримуємо повний список знайдених вразливостей з детальним описом та оцінкою.

Nessus

Nessus – це багатофункціональний професійний сканер вразливостей веб-ресурсів та об’єктів IT-інфраструктури. Існує в двох версіях — Nessus Expert і Nessus Professional.

Після встановлення, програму треба запустити і вона буде доступна за локальною URL-адресою https://localhost:8834 – користувачу запропонується створити новий профіль, після чого стане доступним персональний кабінет і велика кількість модулів.

Керування сканером можна здійснювати також у командному рядку:

sudo systemctl start nessusd
sudo systemctl stop nessusd

Варто зазначити, що Nessus – це дуже потужний сканер, який може навантажувати систему, тому рекомендую розгортати його на окремому сервері.

OpenVAS

OpenVAS (Greenbone Vulnerability Manager, GVM) – це сканер вразливостей кінцевих точок і веб-додатків. Існує в безкоштовній (Community Edition) та платній (Enterprise) версіях. Підтримується компанією Greenbone.

Сканер найкраще розгортати на локальній системі під управлінням Linux. Образ віртуальної машини VirtualBox (OVA) можна завантажити з офіційного сайту. Документація з розгортання тут.

Також інструмент доступний у вигляді Docker-контейнера.

Доступ до сканера відбувається через веб-інтерфейс у браузері за URL-адресою: https://127.0.0.1:9392 (залежить від мережевих налаштувань).

Для початку роботи необхідно перевірити фіди (Configuration -> Feeds), додати цілі (Configuration -> Targets) та запустити завдання (Scans -> Task).

З особливостей GVM OpenVAS:

• різноманітні профілі сканування;
• вбудований TCP/UDP сканер портів, модуль NMAP;
• вбудовані бази вразливостей: CVE, CPE, NVT, CERT-Bund, DFN-CERT;
• вбудований CVSS-калькулятор;
• монітор навантаженості сервера;
• різні формати звіту: pdf, xml, itg, csv.

Quterra

Quterra – це безкоштовний спеціалізований онлайн-сервіс для перевірки сайтів на наявність вірусів (malware).

Антивірусна перевірка є зовнішньою, проходить по всім папкам і файлам сайту, включаючи дані різноманітних антивірусних баз.

OWASP Zap

OWASP ZAP (Zed Attack Proxy)  – це безкоштовний сканер веб-додатків, створений міжнародною організацією з кібербезпеки OWASP.  Може допомогти вам автоматично знаходити вразливі місця у ваших веб-додатках. Це також чудовий інструмент для ручного тестування безпеки.

Функціональні можливості ZAP:

• Проксі-сервер перехоплення (HTTP POST/GET);
• AJAX веб-сканер;
• Краулер структури сайту (Crawl Spider);
• Автоматизований сканер;
• Пасивний сканер;
• Фаззер для проведення пентестів (Bruteforce, Enumeration, XSS/SQLi);
• Підтримка WebSocket;
• Підтримка плагінів.

Для початку роботи необхідно задати цільову URL-адресу і запустити сканер:

Розпочнеться активне сканування. Краулер зробить обхід всіх URL-адрес сайту та сформує дерево каталогів. Результати почуть з’являтися у нижній частині вікна програми. На вкладці “Alerts” (Сповіщення) будуть відображені знайдені вразливості:

По закінченні сканування, звіт можна згенерувати й вивантажити в форматах: PDF, HTML, XML, JSON.

Програма підтримує усі платформи: Windows/Linux/MacOS. Може інтегруватися з Jenkis.

Nikto

Nikto – це безкоштовний консольний сканер вразливостей з відкритим кодом. Визначає та перевіряє конфігурацію сервера, IP-адресу, його тип, знайдені недоліки безпеки, згідно баз OSVDB і CVE. Окрім того, сканер володіє функціями парсера і робить обхід структури cайту (за умови, що сервер йому дозволяє це зробити).

Основні команди:

sudo apt-get install nikto -y
nikto -h domain.com
nikto -h XX.XX.XXX.XXX
nikto -h domain.com -p 22

WPScan

WPScan – це безкоштовний консольний сканер вразливостей для CMS WordPress. Аналіз проходить по всім компонентам, модулям, плагінам WordPress. З допомогою WPScan можна проводити тестування на проникнення — здійснювати брутфорс-атаки і проводити енумерацію.

Документацію по встановленню можна знайти в репозиторії GitHub.

Для початку роботи необхідно зареєструватись на офіційному сайті, отримати API-ключ та вказати його у команді запуску WPScan.

Приклади команд:

wpscan --url https://domain.com --enumerate u,ap,vt,tt,cb,dbe,m --api-token xxxx --random-user-agent
wpscan --url https://domain.com --passwords /root/KyuBrute/password.txt --usernames administrator --max-threads 50
wpscan --url www.example.com --wordlist wordlist.txt --username admin
wpscan --url www.example.com --wordlist wordlist.txt --threads

Інструмент має такі аналоги як Joomscan – сканування CMS Joomla та Droopescan – сканування CMS Drupal.

Інші сервіси та онлайн-сканери безпеки

• Penteston.com
• HostedScan.com
• BrightSecurity
• Pentest-tools.com
• HackerTarget.com
• Vulners.com
• Sucuri Sitecheck
• BrightCloud URL/IP Lookup
• URLvoid.com Website Reputation checker
• URLscan.io