welkomp

Ремонт ноутбуков в Харькове

hp, acer, asus, msi, toshiba, samsung, lenovo, sony, vaio, dell

Как проверить сайт на уязвимость?

Увы, но современный интернет - это постоянные атаки. В среднем каждый крупный сайт по статистике, в день атакован более 25 раз. Из них 85% производится с помощью сетей ботов автоматическим методом.

При этом сайты на системе управления Wordpress атакуются в 7.5 раз больше, чем на самописных движках. В следствии чего, у сайтов в среднем 146 дня уходит на исправление критической уязвимости. Вы спросите, как с этим все бороться?

Можно действовать старым проверенным способом, через постоянные проверки кода. Однако, разовые аудиты не помогают решить проблему - необходим постоянный мониторинг ваших сайтов.

Какой риск, что сайт взломают?

60% всех взломов происходят благодаря наличию уязвимостей в веб-приложениях.

Самый удобный способ обнаружить уязвимости веб-приложения - это внешний аудит. Благодаря которому, проверка производится без необходимости предоставлять исходные коды вашего ПО.

На просторах Интернета можно найти большое количество, как «сетевых сканеров», так и «сканеров кода». Последних, правда, несравнимо меньше, возможно, потому, что их создание сложнее. Думаю, вопрос: «Какой из этих типов лучше?», не уместен. Так как это два разных подхода к решению, зачастую, разных задач. И то, что могут одни, совершенно не могут другие.

В этой статье речь пойдет о таком «сканере» как «METASCAN», который работает как онлайн сервис. «Сканер кода», в отличии от «сетевого сканера», подбирающего параметры в адресной строке, или в формах, удобен для устранения уязвимостей, но мало подходит для взлома сайтов.

Спросите почему? Во-первых потому, что для проверки нужно иметь доступ к проекту, а, раз вы его имеете, то, скорее всего, это ваш проект, и взламывать как бы ничего и не требуется.

А вот устранение ошибок и “дыр”, найденных после того как проверка сайта на уязвимости будет окончена, сводится к очень простым действиям. Посколько, они выдают не XSS-вектор, а файл, в котором есть уязвимость, строку кода и не безопасный параметр. И вам остается только внести изменения в нужном месте файла, для их устранения.

metascan

«Сканер кода» также отличает то, что он способен найти те уязвимости, которые «сетевой сканер» не могут найти в принципе.

Если взять образное сравнение, то «сканер кода» открывает черный ящик, и просто смотрит, что внутри. А «сетевой сканер» пытается: потрясти черный ящик, взвесить, измерить температуру, потыкать его иголками, и, таким образом, определить, что внутри. Преимущество последнего перед «сканером кода» в том, что он проверяет настройки сервера (хостинга) на наличие уязвимостей, чего, конечно, не делает «сканер кода» по понятным причинам.

metascan настройки

Если поднять вопрос, чем лучше проверить сайт, «сканером кода» или «сетевым сканером», то напрашивается только один ответ. Проверьте ваш проект «сканером кода«, устраните найденные им уязвимости, а потом проверьте ваш сайт «сетевым сканером». Как говорится, «лучше перебдить». Ведь инструменты для взлома сайтов часто можно найти в свободном доступе. Выход один - устранить уязвимости до того, как их найдет кто-то другой.


Добавить комментарий

Вы здесь: Главная Статьи Безопасность Как проверить сайт на уязвимость?