Joseph Goodman
0 
2175
576
Поскольку Интернет развивается и системы, на которых он работает, становятся все труднее взломать, можно подумать, что сайты будут взламываться меньше! На самом деле все наоборот: проблема номер один заключается не в программном обеспечении, а в самоуспокоенности человека.
Как только возможный хакер обнаружен, он может распространяться, как лесной пожар, по сообществам хакеров, поэтому поддержание вашего сайта в актуальном состоянии и устранение скрытых дыр в безопасности - абсолютная лучшая защита.
Тем не менее, как вы можете узнать, если ваш сайт уязвим? Вот тут и появляется бесплатный сервис HackerTarget.com.
Ограничения и ошибки при регистрации:
Бесплатные аккаунты позволяют вам запускать до 4 сканирований в день, единственное другое условие - вы не можете использовать определенные сканы с бесплатным адресом электронной почты, таким как Hotmail, Yahoo или Gmail. Хотя сканирование WordPress доступно каждому.
Во-вторых, вам на самом деле не нужно регистрироваться - просто запустите проверку безопасности (описано ниже), и вы получите автоматическое электронное письмо. При первом использовании службы это письмо будет содержать ссылку для подтверждения вашего адреса электронной почты. Нажав на эту ссылку, вам нужно будет снова начать сканирование. Это немного сбивает с толку, но мы все взрослые, поэтому я уверен, что мы справимся.
Какой тип сканирования вы можете сделать:
Этот удивительный сервис предлагает довольно полный набор проверок безопасности:
- WordPress / Drupal / Joomla
- Профилирование домена
- WhatWeb Scan
- Слепой слепой дактилоскопия
- Nikto Server Scan
- SQL инъекционный тест
- Сканирование уязвимостей OpenVAS
- Nmap Port Scanner
У нас нет места для проверки всего сканирования, поэтому сегодня я рассмотрю проверку безопасности WordPress, тестирование OpenVas и SQL-инъекцию..
WordPress Security Scan:
По завершении автоматического сканирования WordPress вы получите красиво представленный отчет. Давайте посмотрим на то, что он говорит вам:
Информация о сайте
Это отображает основные версии сервера, а также вашу версию WordPress, если он может ее найти. Он также скажет вам, если ваш WordPress устарел. Это важно, так как в более старых версиях обнаруживаются уязвимости, а запуск таких автоматических сканирований настолько прост, что вы можете быстро найти цель взлома..
Ссылки на сайт и скрипты
Здесь показан отчет о внешних ссылках, найденных на вашем сайте, а также о любых вредоносных программах, которые могли быть внедрены на вашу страницу (или встроены в вашу тему!) - обязательно просмотрите список и проверьте все, что вы не сразу распознаете.
Информация о хостинге
В последнем разделе перечислены основные сведения о вашем хосте, а также о других веб-сайтах, которые имеют тот же IP-адрес, что и ваш..
Тест SQL-инъекций:
Практически все недавние взломы Sony Pictures Online были взломаны с использованием уязвимости «Primitive and Common», незашифрованные данные. через Twitter они получили доступ к SonyPictures.com и украли более 1 миллиона учетных записей, паролей и конфиденциальной информации пользователей. Вскоре после выхода новостей копии… о которых вы слышали в новостях известной группы безопасности Lulzsec, были выполнены с использованием атаки SQL-инъекцией. По сути, это означает, что команды SQL можно запускать на сервере напрямую, изменяя параметры URL или вводя их в поле поиска. Это работает, потому что многие системы не будут проверять, что им дано, они просто прочитают это прямо. XKCD объясняет это лучше!
Если вам повезет, отчет по электронной почте, полученный в результате теста SQL-инъекции, будет коротким и приятным: он не обнаружит уязвимостей. WordPress на протяжении многих лет был признан уязвимым, но они обычно исправляются, как только их обнаруживают - поэтому урок, как и всегда, - ВСЕГДА ОБНОВЛЯЕТСЯ.
OpenVAS IP-сканер:
Этот может быть более интересным для запуска на вашем домашнем IP-адресе (который вы можете найти на whatismyipaddress.com), так как это в основном сканер портов. В нем будут перечислены все открытые для мира порты, которые затем являются еще одним путем доступа хакера к вашему ПК. Как только хакер узнает, какие порты открыты и для чего они используются, он может начать тестировать каждый из них по очереди, чтобы найти уязвимости на них. Запустите на своем домашнем IP, вы можете даже найти некоторые мошеннические процессы, которые тайно рассылают спам-письма.
Я очень надеюсь, что вы попробуете некоторые из этих невероятных бесплатных сканирований, особенно если вы ведете блог и относительно ничего не знаете о безопасности. Я бы сказал опубликовать здесь, если вы получите какие-либо тревожные результаты, но это может сделать вас целью - поэтому лучше всего размещать анонимно и не указывать свой веб-адрес! Знаете ли вы какие-либо аналогичные удобные, бесплатные онлайн (и заслуживающие доверия) инструменты для выполнения этих сканирований? Поделитесь этими знаниями!
Изображение предоставлено: ShutterStock