Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Як провести аудит безпеки власного сайту? У цій статті я проведу короткий огляд безкоштовних та платних інструментів, котрі допоможуть самотужки провести аудит безпеки та підготувати звіт.
Mozilla Observatory – це безкоштовний веб-сервіс від засновників браузера Firefox, допомагає швидко перевірити технічні параметри і оцінити поточний рівень захищеності сайту, застосовуючи інтегровані інструменти та рекомендації від OWASP, Probely, Qualys, ImmuniWeb та інших.
Mozilla Observatory підійде для формування експрес-звітів. Інструмент надає чимало конкретної інформації, яку можна використати для покращення кібербезпеки. Обсерваторія перевіряє запобіжні заходи проти атак типу міжсайтові сценарії (XSS), “людина посередині” (MITM), міждоменного витоку інформації, компрометації cookie, зламу мережі доставки вмісту та неправильно виданих SSL-сертифікатів.
Оцінка формується за шкалою від 0 до 100. Якщо сайт набирає певну кількість балів — йому присвоюється категорія якості “A”, “B”, “C”, “D”, “E”, “F”.
Сервіс має вбудовану підтримку API. Сканер можна використовувати локально, завантаживши з GitHub.
Qualys є авторитетним постачальником інструмент з кібербезпеки. Розглянемо декілька безкоштовних інструментів.
Qualys Community Edition – це онлайн-платформа для керування безпекою в межах ІТ-інфраструктури. Складається з різних модулів, таких як: Vulnerability Management, Threat Protection, Cloud Agent, Web Application Scanning.
Модуль Web Applications Scanning призначений для сканування/тестування веб-сайтів і веб-додатків. Для початку необхідно додати в систему новий сайт, задати налаштування (їх безліч, можна створити індивідуальний профіль перевірки, автоматизувати процес з допомогою шаблонів і скриптів) та запустити сканер — на виході отримаємо професійний звіт з кібербезпеки по всім пунктам, зокрема:
Звіт можна звантажити в PDF. Він містить стандартизований опис знайдених вразливостей. Qualys Scanner корисно запускати після оновлень, змін конфігурації, перенесення інфраструктури, адже глибина перевірок є досить високою і допомагає виявити чимало прихованих моментів.
Qualys SSL Labs – це ще один безкоштовний онлайн-сервіс, який дозволяє перевірити сервер на захищеність, зокрема перевірити стійкість та якість SSL-сертифікату і TLS-протоколу.
Звіт містить безліч цікавої інформації в технічному плані з найдрібнішими подробицями: де, ким і коли видано SSL-сертифікат, яке шифрування використовується, які TLS-протоколи підтримує сервер, на яких платформах та операційних системах виникають проблеми і багато іншого.
ImmuniWeb Community Edition – це комплекс інструментів для бекзоштовної перевірки веб-ресурсів. Включає такі модулі як: Website Security Test, Cloud Security Test, Email Security Test, Mobile App Security Test, SSL Security Test, Dark Web Exposure Test. Доступний безкоштовний моніторинг безпеки, а також API і CLI-інтерфейс.
В модулі Website Securtiy Test на основі зібраних даних та метрик, підсумовується оцінка захищеності ресурсу та присвоюється категорія “A”, “B”, “C” або “F”.
Електронний звіт складається з таких розділів:
Звіт можна завантажити у форматі PDF.
Detectify – це онлайн-сервіс для тестування і аудиту кібербезпеки електронних ресурсів. Detectify працює як DAST-сканер, який перевіряє захищеність веб-ресурсів шляхом імітації різноманітних атак: XSS, SQL-ін’єкції, DDOS, Email-flood, перевірка аутентифікації та багато іншого. В основі перевірок – список OWASP Top 10.
Для початку роботи необхідно зареєструватися, додати домен та підтвердити право власності на нього, додавши запис в DNS або завантаживши текстовий файл у кореневу теку сайту.
На час сканування варто бути готовим до того, що сайт може працювати з перебоями – це пов’язано з агресивним скануванням Detectify.
В результаті отримуємо повний список знайдених вразливостей з детальним описом та оцінкою.
Nessus – це багатофункціональний професійний сканер вразливостей веб-ресурсів та об’єктів IT-інфраструктури. Існує в двох версіях — Nessus Expert і Nessus Professional.
Після встановлення, програму треба запустити і вона буде доступна за локальною URL-адресою https://localhost:8834
– користувачу запропонується створити новий профіль, після чого стане доступним персональний кабінет і велика кількість модулів.
Керування сканером можна здійснювати також у командному рядку:
sudo systemctl start nessusd
sudo systemctl stop nessusd
Варто зазначити, що Nessus – це дуже потужний сканер, який може навантажувати систему, тому рекомендую розгортати його на окремому сервері.
OpenVAS (Greenbone Vulnerability Manager, GVM) – це сканер вразливостей кінцевих точок і веб-додатків. Існує в безкоштовній (Community Edition) та платній (Enterprise) версіях. Підтримується компанією Greenbone.
Сканер найкраще розгортати на локальній системі під управлінням Linux. Образ віртуальної машини VirtualBox (OVA) можна завантажити з офіційного сайту. Документація з розгортання тут.
Також інструмент доступний у вигляді Docker-контейнера.
Доступ до сканера відбувається через веб-інтерфейс у браузері за URL-адресою: https://127.0.0.1:9392
(залежить від мережевих налаштувань).
Для початку роботи необхідно перевірити фіди (Configuration -> Feeds), додати цілі (Configuration -> Targets) та запустити завдання (Scans -> Task).
З особливостей GVM OpenVAS:
Quterra – це безкоштовний спеціалізований онлайн-сервіс для перевірки сайтів на наявність вірусів (malware).
Антивірусна перевірка є зовнішньою, проходить по всім папкам і файлам сайту, включаючи дані різноманітних антивірусних баз.
OWASP ZAP (Zed Attack Proxy) – це безкоштовний сканер веб-додатків, створений міжнародною організацією з кібербезпеки OWASP. Може допомогти вам автоматично знаходити вразливі місця у ваших веб-додатках. Це також чудовий інструмент для ручного тестування безпеки.
Функціональні можливості ZAP:
Для початку роботи необхідно задати цільову URL-адресу і запустити сканер:
Розпочнеться активне сканування. Краулер зробить обхід всіх URL-адрес сайту та сформує дерево каталогів. Результати почуть з’являтися у нижній частині вікна програми. На вкладці “Alerts” (Сповіщення) будуть відображені знайдені вразливості:
По закінченні сканування, звіт можна згенерувати й вивантажити в форматах: PDF, HTML, XML, JSON.
Програма підтримує усі платформи: Windows/Linux/MacOS. Може інтегруватися з Jenkis.
Nikto – це безкоштовний консольний сканер вразливостей з відкритим кодом. Визначає та перевіряє конфігурацію сервера, IP-адресу, його тип, знайдені недоліки безпеки, згідно баз OSVDB і CVE. Окрім того, сканер володіє функціями парсера і робить обхід структури cайту (за умови, що сервер йому дозволяє це зробити).
Основні команди:
sudo apt-get install nikto -y
nikto -h example.com
nikto -h XX.XX.XXX.XXX
nikto -h example.com -p 22
WPScan – це безкоштовний консольний сканер вразливостей для CMS WordPress. Аналіз проходить по всім компонентам, модулям, плагінам WordPress. З допомогою WPScan можна проводити тестування на проникнення — здійснювати брутфорс-атаки і проводити енумерацію.
Документацію по встановленню можна знайти в репозиторії GitHub.
Для початку роботи необхідно зареєструватись на офіційному сайті, отримати API-ключ та вказати його у команді запуску WPScan.
Приклади команд:
wpscan --url https://example.com --enumerate u,ap,vt,tt,cb,dbe,m --api-token xxxx --random-user-agent
wpscan --url https://example.com --passwords /root/KyuBrute/password.txt --usernames administrator --max-threads 50
wpscan --url www.example.com --wordlist wordlist.txt --username admin
wpscan --url www.example.com --wordlist wordlist.txt --threads
Інструмент має такі аналоги як Joomscan – сканування CMS Joomla та Droopescan – сканування CMS Drupal.
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!