15 инструментов для проверки кибербезопасности сайта

Как провести IT аудит кибербезопасности сайта

В прошлых материалах я уже писал как проверить сайт на малварь и вирусы. В сегодняшнем посте речь пойдет немного о другом — я расскажу как самостоятельно провести IT Аудит безопасности сайта (Cybersecurity Audit) с легким отклонением в сторону пентеста. Какими онлайн-сервисами и веб-сканерами пользоваться. Откуда брать информацию для подготовки ТЗ и отчетов. Будет полезно всем обладателям веб-сайтов.

Mozilla Observatory

Очень полезный сервис от компании Mozillla. Предоставляет много ценной, целевой информации. Помогает оценить текущий рейтинг сайта и риски безопасности по разным критериям. Сервис учитывает популярные рекомендации, включая OWASP и идеально подойдет для формирования отчетов.

Mozilla Observatory check website

На выходе получаем таблицу данных в виде чек-листа:

Mozilla Observatory Scan Results

Результаты сканирования впечатляют полнотой информации — фактически вебмастер получает все, что он хотел знать о точках безопасности своего сайта. Но, главное, что для себя из этого стоит выяснить — это рейтинг. Если ваш сайт набрал 0 баллов из 100 — немедленно займитесь его оптимизацией, или нанимайте специалиста по безопасности. Для большинства сайтов, например информационных, буде достаточно и категории D, но если это корпоративный проект, то желаемым должен стать рейтинг категории A. Mozilla Observatory предоставит достаточно информации, что необходимо для этого сделать.

Кроме HTTP-сканирования, здесь еще три вкладки с проверками: TLS Observatory, SSH Observatory и Third-party Tests. Информации достаточно, и есть над чем подумать.

Переходим к следующему инструменту.

Security Headers

Проверка HTTP-заголовков. Отличный чекер от компании Probely — проверит и покажет какие HTTP-заголовки учтены, а каких не хватает для обеспечения целостности безопасности сайта. Один из моих любимых сервисов.

Security Headers by Probely

15 инструментов для проверки кибербезопасности сайта

Чем важны заголовки безопасности? Они исключают возможность атаки посредством HTTP-соединения. Злоумышленники не смогут перехватить данные, которые передаются между сервером и клиентом (браузером), не смогут подменить контент, провести PHP инжекцию и устроить межсайтовый скриптинг (XSS). В сети достаточно сайтов, которые пострадали именно из-за отсутствия базовых HTTP-заголовков безопасности, превратились в «помойку» из вредоносных скриптов, редиректов, спама и фишинга. Такие сайты поисковик сразу же банит. Поэтому, если не хотите повторить их долю — рекомендую оптимизировать HTTP-заголовки сайта.

Самыми необходимыми, на мой взгляд, являются:

  • HTTP Strict Transport Security
  • X-Frame-Options
  • X-Content-Type-Options
  • Content-Security-Policy

Рекомендации OWASP по заголовкам безопасности.

Документация по HTTP-заголовкам от Mozilla>>

Qualys SSL Server Test

Неплохо будет определиться как обстоят дела с SSL-сертификатом — валидный/не валидный, какая категория и многое другое. Все это позволяет узнать замечательный сервис SSL Server Test от компании Qualys:

Qualys SSL Test

Отчет содержит множество технической информации с мельчайшими подробностями: где, кем и когда выдан SSL-сертификат, какое шифрование использует, какие TLS-протоколы поддерживает, на каких платформах и операционных системах возникают проблемы:

Qualys ssl report

 

Часто не качественный и не валидный SSL-сертификат может привести к солидным проблемам в безопасности и работоспособности веб-сайта. Отсутствие SSL и HTTPS — большой риск, так как открывает дорогу любым хакерским атакам. Кроме того, такие сайты хуже других ранжируются в поисковых системах и не вызывают доверия у пользователей.

ImmuniWeb

Качественный онлайн-сканер сайтов на уязвимости. В интернете много похожих сервисов, но ImmuniWeb понравился комплексностью подхода, академичностью, грамотностью. Здесь вы получаете много бесплатной подробной информации, на базе которой уже можно писать технические задания на улучшение кибербезопасности. По структуре и формату чем-то напоминает два предыдущих сервиса:

Immuni Web Security Test

Тест определяет сайт по 5 разным категориям: Безопасность программного  обеспечения, Соответствие политикам безопасности (GDPR), Соответствие PCI-DSS,  Безопасность контента, HTTP-заголовки. В зависимости от оценки, сервис присваивает сайтам разные категории: A, B, C, F.  Отчет можно скачать в формате PDF. Однозначно, один из лучших инструментов для Cybersecurity аудита.

15 инструментов для проверки кибербезопасности сайта

Detectify

15 инструментов для проверки кибербезопасности сайта

Мы провели внешние проверки. Теперь хорошо «прощупать» серверную часть, проверить отказоустойчивость сервера, например, к DDOS-атакам. Detectify уже посложнее и за своими характеристиками немного напоминает профессиональное ПО для Apllication Security (Acunetix, Netsparker и др.). Сервис условно-бесплатный — после регистрации вы получаете 14-дневный Trial-период без ограничений по функционалу. Необходимо добавить домен или IP-адрес вашего сервера, подтвердить права собственника (загрузив файл на сервер или добавив TXT-запись в DNS зону), создать профиль сканирования (определить настройки) и запустить проверку.

15 инструментов для проверки кибербезопасности сайта

Но с этим инструментом нужно быть осторожным, так как Detectify проводит стресс-тест, в котором берут участие различные парсеры и ботнеты, они проводят htttp-флуд, брутфорc-переборы, DDOS-атаки. Так что будьте готовы, что ваш сайт запросто может не устоять. В принципе, на это и рассчитано. А поэтому, рекомендуется проводить такие аудиты в ночное время или на временно закрытом сайте, а еще лучше на этапах разработки.  В опциях можно указать все необходимые настройки сканирования и отрегулировать уровень «пентеста» (от поверхностного до глубокого). Можно также включить мониторинг и Detectify будет регулярно тестировать безопасность.

Отчет здесь отличается от предыдущих сервисов — не настолько огромен и информативен, но все ровно ценен, так как система показывает КЛЮЧЕВЫЕ недостатки, из-за которых сервер может быть взломан в любую минуту:

15 инструментов для проверки кибербезопасности сайта

Простота использования, поддержка интеграции с другими сервисами (Slack, Jira, Splunk, Trello и др.), множество обучающих материалов делают Detectify одним из наиболее популярных сканеров уязвимости веб-приложений.

Google Dorks

Следующим этапом будет — разведка с помощью Google Dorks. Суть этого метода заключается в поиске уязвимостей с помощью всем известного Гугла. Дело в том, что Google сканирует сайт до дыр и если он не защищен, то все конфиденциальные материалы, служебные страницы, файлы и папки вылезут в поиске. Как раз для этого и существуют специальные операторы поисковой системы.

Рассмотрим несколько примеров:

site:domain.com (inurl:pdf OR inurl:txt OR inurl:doc OR inurl:docx OR inurl:mp4 OR inurl:avi OR inurl:xlsx OR inurl:log)— найдет и покажет в результатах поисковой выдачи все файлы указанных форматов, если они были проиндексированы (то есть, если Google получил к ним доступ). Часто тут можно найти номера банковских карт и телефонов, пароли, разные счет-фактуры, логи и отчеты и многое-многое другое. Несмотря на конфиденциальность, вся эта важная информация считается открытой, так как добровольно попадает в «загребущие руки поисковичков». Задача вебмастера сделать так, чтобы в поиск попадали только страницы указанные в карте сайта — Sitemap.xml.

site:domain.com intitle:ключевое слово filetype:pdf— найдет и покажет в результатах поиска по заданному домену все PDF-файлы, содержащие ключевое слово в заголовке Title.

site:domain.com intitle:index.of mp3 — выведет в результатах поиска содержимое директории с файлами mp3 в виде листинга. А это уже уязвимость и пространство для разного рода инжекций и манипуляций, так как злоумышленник, по сути, уже получает доступ к просмотру целой папки на сервере. Задача специалиста по безопасности запретить просмотр содержимого каталогов используя файл конфигурации сервера .htaccess или другие методы. Можете для себя поэкспериментировать и ввести в Гугле: intitle:index.of pdf intext:кибербезопасность

inurl:gallery.php?id= site:domain.com — а вот этот оператор найдет на указанном домене уязвимый к SQL-инжекциям URL и покажет в результатах поиска. Таким образом можно сканировать сайты на потенциально уязвимые URL-адреса прямо из поисковой выдачи Google.

Продвинутые операторы Гугла (Google Advanced Operators)

15 инструментов для проверки кибербезопасности сайта

***

Как видно, уже на данном этапе, не обладая знаниями и навыками пентестера или веб-разработчика, пользуясь одними лишь онлайн-сервисами и поисковой системой можно провести неплохой аудит безопасности своего сайта.

Перейдем теперь к более сложным инструментам и попробуем провести анализ с помощью нескольких утилит командной строки Linux.

Whatweb

15 инструментов для проверки кибербезопасности сайта

Веб-сканер для определения технологий, которые использует сервер/сайт.

Команды:

whatweb -v -a 3 https://domain.com

Инструкция по установке и подробное описание WhatWeb>>

Dirb

15 инструментов для проверки кибербезопасности сайта

Dirb — это утилита командной строки Linux. Она перебирает всю структуру каталогов сайта на наличие служебных, технических, уязвимых, открытых к индексации директорий сайта. С ее помощью можно, например, найти URL-адрес админки сайта, доступ к панели управления PhpMyAdmin и многое другое.

Основные команды:

dirb https://domain.com — сканировать сайт;

dirb domain.com -X .pdf — сканировать целый домен на наличие pdf-файлов.

О том как установить Dirb>>

Dirhunt

15 инструментов для проверки кибербезопасности сайта

Тот же dirb, только намного быстрее, без брута. Парсинг проводится только по основному списку потенциально уязвимых директорий, плюс можно найти поддомены. Иногда бывает нет времени ждать пока Dirb закончит длительный парсинг, и тогда приходит на помощь шустрый Dirhunt.

Команда выполнения:

dirhunt http://domain.com

Таким образом, с помощью двух утилит Dirb и Dirhunt можно «прошерстить» весь сайт на наличие лишних файлов. Задача специалиста — всех их обнаружить, удалить или закрыть от индексации (с помощью .htaccess, robots.txt и meta robots), плюс настроить корректные права доступа на все файлы и папки на сервере. Кстати в этом поможет онлайн-сервис Chmod Calcualator.

О том как установить dirhunt>>

Metagoofil15 инструментов для проверки кибербезопасности сайта

Утилита для поиска документов и выжимки метаданных из них:

metagoofil -d domain.com -t pdf,doc,ppt -n 20 -o files -f

metagoofil -d domain.com -l 50 -n 50 -t pdf,doc,xls,docx,xlsx -o report

XSStrike

15 инструментов для проверки кибербезопасности сайта

Отличная бесплатная утилита для проверки сайтов на уязвимость к XSS и CSRF-атакам (от них страдают много сайтов, находятся на 7 месте в рейтинге ключевых рисков Web-приложений, согласно OWASP Top10 2017).

Основные команды:

python3 xsstrike.py -u "https://domain.com" --crawl— просканирует сайт и выдаст список обнаруженных уязвимостей.

python3 xsstrike.py -u "https://domain.com/custom/search/?locale=uk&text=" --fuzzer— запускает фаззинг (перебор) различных потенциально опасных параметров по уязвимому URL-адресу;

python3 xsstrike.py -u "https://domain.com/custom/search/?locale=uk&text=" --params — запускает парсинг потенциально уязвимых параметров.

Описание и документация по установке XSStrike>>

WPScan

15 инструментов для проверки кибербезопасности сайта

Популярная и очень полезная утилита для аудита безопасности сайтов на базе CMS WordPress. Просканирует сайт, выдаст технические характеристики, покажет версию WordPress и название шаблона, выведет список установленных плагинов и расскажет какие из них подвергнуты уязвимостям (дает точное название по базе CVE). Можно также провести энумерацию пользователей и узнать все логины с доступом к админке сайта. Зная логины пользователей, хакер сможет запросто провести брутфорс и подобрать пароли (если они не сложные), получив доступ к админке WordPress. Задача специалиста по безопасности — сделать так, чтобы в WPScan и других подобных утилитах было по минимуму информации по сайту.

Команда:

wpscan --url https://domain.com --enumerate u --api-token можно получить зарегистрироавшись на оф.сайте --random-user-agent

Если сайт создан на другом движке, например Joomla или Droopal — помогут аналогичные сканеры: Joomscan и Droopescan.

Nikto

15 инструментов для проверки кибербезопасности сайта

Данный сканер выводит интересную информацию по серверу и HTTP-заголовкам. Его можно использовать не только для проверки удаленного веб-сервера, но и локально, установив например на сервере.

Команда:

nikto -h domain.com — сканирование по домену;

nikto -h ipadress — сканирование по IP-адресу;

nikto -h domain -p номер порта— сканирование по указанному порту.

Описание и установка Nikto>>

NMAP

15 инструментов для проверки кибербезопасности сайта

Культовый сканер интернет-сетей и веб-приложений. Обладает широкими возможностями и функционалом. Позволяет проверять безопасность не только сайтов и серверов, но и локальные сети, IoT устройства, проводить тесты на проникновение в связке с дополнительными скриптами и утилитами.

nmap IP — просканирует сетевые порты (TCP) сервера по указанному IP адресу и покажет какие закрыты/открытые;

nmap IP -sV — просканирует TCP-порты сервера и покажет какие сервисы их «слушают»;

nmap IP -sC -p 21,22,53,80,8083,3306 — детально просканирует указанные порты и выведет детальную информацию по ним;

nmap IP -sU — сканирование UDP-портов;

nmap -v -O IP — определение операционной системы сервера;

nmap IP > report.txt — сохранение вывода команда в текстовый файл;

nmap -v -sS -A -T4 IP — полное сканирование IP адреса;

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 IP— целенаправленное сканирование порта MySQL.

Официальный сайт и документация по NMAP>>

Infoga

15 инструментов для проверки кибербезопасности сайта

А теперь немного ОСИНТА. С помощью данного инструмента можно проверить, к примеру, корпоративные email-адреса на предмет утечек данных — утилита ищет email по всем базам и поисковым системам интернета:

python3 infoga.py --domain domain.com --source all --breach -v 2

python3 infoga.py --domain domain.com --source all -v 3

python3 infoga.py –info email@address –source google -v 3

Информация по установке Infoga>>

В заключение

Фактически в данной публикации я рассмотрел основные инструменты для самостоятельного анализа сайта на уязвимости и оценки рисков. В итоге получился небольшой чек-лист, по которому можно проводить экспресс-аудиты по кибербезопасности. Но этого, конечно, недостаточно для работы с масштабными корпоративными проектами, какими-то коммерческими платформами, программным обеспечением, операционными системами. В таких проектах, как правило, подключается уже целый штат специалистов (QA Engineer/Pentester/Digital Forensic Specialist/Malware Reverse Engineer/Application Security Engineer/DevSecOps) и используются инструменты совсем другого характера, например: Hydra, SQLmap, Metasploit, Patator, OWASP Zap, Burp Suite, Wireshark, Snyk, SonarQube, VeraCode, Shodan, Maltego и другие. Надеюсь, обо всем этом я расскажу в следующих статьях.

Полезные ссылки:

Оценка:
( 1 оценка, среднее 5 из 5 )
Подписка на KRASHENININ.TECH

Получайте регулярные обновления на почту!


Author
Виталий Крашенинин/ автор статьи
Digital-жрец блога Krasheninin.tech, публицист, исследователь веб-технологий. С 2011 года в IT. Сфокусирован на кибербезопасности, системном администрировании, создании сайтов и SEO. Подробнее>>
Не забудьте поделиться материалом в соцсетях:
KRASHENININ.TECH - блог о веб-технологиях, и не только
Подписаться
Уведомление о
guest
0 Комментарий
Встроенные отзывы
Просмотреть все комментарии
0
Есть мысли? Прокомментируй!x
()
x
Читайте ранее:
Самые опасные хакерские группировки - список
Самые опасные хакерские группировки в истории

Речь в сегодняшней заметке пойдет о настоящих хакерах. Тех, которых действительно стоит опасаться. Тихий ужас Blue Team... Листая различные документации,...

Закрыть