Тестирование сайтов на предмет взлома, защита сайта от взлома. Проверить сайт на взлом


Онлайн сервисы проверки сайта - полный список ⋆ Все секреты интернета

На этой странице собраны все ссылки на онлайн сервис проверки сайта. С помощью этих онлайн сервисов можно проверить сайт на вирусы, а также проверить не числится ли он в чёрных списках различных сервисов и антивирусов.

Кроме этого даны ссылки на страницы этих служб, где можно подать апелляцию по поводу удаления сайта из чёрных списков. Такие сервисы могут быть полезны любому веб-мастеру и администратору сайта, так как никто не застрахован от попадания в категорию «Вредные сайты». Так например, я свой блог minaev.biz регулярно проверяю через эти службы.

Онлайн сервис проверки сайта 

Онлайн сервис проверки сайта на вирусы

  1. Virustotal онлайн Сервис Virustotal проверяет сайт на наличие его в списках вредоносных всех известных антивирусов. Собственно как таковой проверки сайта на вирусы не происходит. Сервис просто сверяет списки уже готовых результатов проверок. Если сайт внесён в списки как зараженный или вредный то это будет отражено в результатах выдаваемых сервисом Virustotal.
  2. URLVoid Сервис URLVoid в чём то похож на предыдущий. Делает сверку на наличие сайта в чёрных списках антивирусов.
  3. Sucuri Сервис позволяет проверить сайт на взлом. Кроме этого производится сканирование на наличие вирусов и вредных скриптов и вставок.
  4. Сервис даёт возможность проверить сайт на вирусы онлайн dr web Хотя данный сервис малоэффективный в плане поиска угроз, но зато даёт возможность быстро определить забанен ли данный сайт этим антивирусом.

  

 

Проверить IP на спам

Онлайн сервис проверки сайта: ниже даны ссылки на сервисы позволяющие проверить IP в спам базах почтовых серверов.

Если с IP вашего сайта ранее производилась рассылка спама то он может находится в чёрных списках. Обратите внимание, что проверяется именно IP на котором закреплено в данный момент доменное имя. На одном IP сервера может быть закреплено сколько угодно доменов, и если IP попадёт в бан то и все домены тоже…

  1. Проверить домен на спам
  2. Проверить IP на наличие в спам базах
  3. Удаление сервера из спам баз (удалить IP из спам базы)

Сервисы позволяющие удалить IP из спам баз и чёрных списков антивирусов 

Онлайн сервисы проверки сайта:

  1. Сервис который позволяет разблокировать сайт в Касперском. 
  2. Удаление сайта из вирусных баз Avast
  3. Удаление сайта из вирусной базы антивируса Dr. Web
  4. Удаление сайта из вирусной базы McAfee
  5. Проверка сайта по базе фишинга а так же исключение из этих списков от Phishtank
  6. Удаление сайта из базы заблокированных доменов в Facebook
  7. Удаление сайта из вирусной базы bitdefender
  8. Удаление сайта из базы вредоносных Google (Панель веб мастера Google)
  9. Удаление сайт из базы вредоносных Яндекса (Панель веб мастера Яндекс)

Различные полезные веб сервисы для веб мастеров 

Онлайн сервис проверки сайта:

  1. Раскодирует PHP закодированные файлы
  2. Уникальные расшифровщик HEX последовательностей
  3. Расшифровка BASE64 строк
  4. Утилиты для проверки сайта
  5. Анализа javascript кода
  6. Сервис для проверки на предмет отклика сервера для различных браузеров
  7. Полная база публичных уязвимостей скриптов и CMS

Полезные расширения для браузера по обеспечению безопасности

  1. Расширение для определения фишинговых сайтов
  2. Плагин для контроля обновлений браузера

minaev.biz

Сервисы для проверки навыков тестирования на проникновение

В прошлом топике я опубликовал обзор дистрибутива PentestBox со ссылками и описанием входящих в него утилит. Надеюсь вам хватило времени ознакомиться с ними и изучить функционал. Сегодня я предлагаю вам несколько сервисов для тестирования своих навыков на практике. Это специализированные сервисы, абсолютно легальные и позволяющие всем желающим проверить свои знания и умения.

Test lab v.7

https://lab.pentestit.ru

Бесплатная пентест-лаборатория, разработанная на основе корпоративной сети реальной компании. Сюжет: На этот раз вам, профессиональным хакерам, предстоит произвести взлом реальной сети виртуальной компании «SecureSoft LLC», занимающейся разработкой программного обеспечения. Ситуацию усложняет факт высокой осведомленности в области ИБ сотрудников компании. Согласно отчету наших агентов о состоянии информационной безопасности компании, ИТ-структура «SecureSoft LLC» достаточно хорошо защищена от атак. Однако, есть предположение, что уязвимые места все же имеются. Ваша цель — первыми обнаружить «Ахиллесову пяту» и получить доступ к системам «SecureSoft LLC». Содержит уязвимости веб-приложений, сетевые уязвимости и смешанных типов, онлайн-сервис.

Hack This Site

https://www.hackthissite.org/

Бесплатный, безопасный и законный полигон для хакеров, чтобы проверить и расширить свои навыки взлома. Больше, чем просто еще один WarGames-сайт — множество разнообразных проектов, огромный форум, irc-канал. Миссии разбиты по типам: простые, реалистичные, атаки на приложения, форензика и т.д. Онлайн-сервис.

Hack Me

https://hack.me

Бесплатный проект, созданный и регулируемый eLearnSecurity. Существует возможность разрабатывать и добавлять свои задания. Задания разбиты по конкретным уязвимостям, в основном для новичков. Онлайн-сервис.

Hacking Lab

https://www.hacking-lab.com

Онлайн платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг. Необходимо скачать образ виртуальной машины и с помошью него подключаться по VPN к лаборатории. Решения, похоже, проверяются вручную.

Enigma Group

http://www.enigmagroup.org/

Сервис создан для тех, кто хочет понимать как устроен безопасный код, как хакеры могут атаковать ваши системы. Содержит уязвимости веб-приложений разного уровня, криптографические, логические, задачи на реверс-инжиниринг. Онлайн-сервис.

bWAPP

http://www.itsecgames.com

Специализированное веб-приложение с открытым исходным кодом. Содержит порядка 100 уязвимостей, классифицированных по методологии OWASP. Одна из самых лучших сборок, must have. Содержится в специализированной виртуальной машине — bee-box.

Damn Vulnerable Web Application

http://www.dvwa.co.uk/

По словам разработчиков — это веб-приложение чертовски уязвимо. Специалистам по безопасности оно поможет проверить свои навыки в легальной среде, а веб-разработчикам лучше понять процессы защиты своих приложений. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

Mutillidae

http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10

Бесплатная opensource-платформа для тестирования безопасности веб-приложений. Проверена большинством популярных утилит — sqlmap, burp suite и т.д. Наряду с bWAPP — одна из самых известных платформ. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

SQLI LABS

https://github.com/Audi-1/sqli-labs

Платформа для тестирования навыков работы с sql-injections. 65 заданий, от простых до сложных (обход WAF, mysql_real_escape_string). Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

WebGoat Project

http://webgoat.github.io/

Название проекта авторы связывают с синдромом обморочных коз: в чрезвычайных ситуациях коза впадает в полный ступор и падает на спину или набок с вытянутыми ногами. Это присуще породе коз со странным генетическим заболеванием. Также и уязвимый код в приложениях может положить его набок в обморочном состоянии. Основной упор сделан именно на образовательную сторону вопроса, а не создание уязвимой платформы для опытов. WebGoat — кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK.

Game of hacks

http://www.gameofhacks.com/

Тест, с различными уровнями сложностями для оценки уровня ваших знаний в уязвимом коде. Дается кусок исходного кода, в котором за определенный промежуток времени вы должны определить и выбрать уязвимость. Онлайн сервис для новичков.

Damn Vulnerable iOS Application

http://damnvulnerableiosapp.com/

Проект для проверки своих знаний в области безопасности iOS приложений. Была представлена на PHD V в виде hands-on лаборатории. Позволяет эксплуатировать различные виды уязвимостей iOS приложений: Insecure Data Storage, Runtime Manipulation, Security Decisions via Untrusted input и т.д. Содержится в виде IPA или DEB, уязвимости проверены до iOS 8.1 версии.

ExploitMe Mobile Android Labs

http://securitycompass.github.io/AndroidLabs/index.html

Opensource-проект для демонстрации эксплуатации уязвимостей платформы Android: File system access permissions, Insecure storage of files, Parameter manipulation of mobile traffic и т.д. Необходим эмулятор, база и лаб-сервер.

Данные дистрибутивы помогут вам расширить свои навыки этичного хакера, понять природу уязвимостей и лучше изучить инструментарий. Happy hacking!

habr.com

Уязвимости сайтов. Проверка сайта. Программа для сканирования сайта на уязвимость

Проблема безопасности вебсайтов ещё никогда не стояла так остро, как в 21 веке. Конечно, это связано со всеобъемлющим распространением сети Интернет практически во всех отраслях и сферах. Каждый день хакеры и специалисты по безопасности находят по нескольку новых уязвимостей сайтов. Многие из них тут же закрываются владельцами и разработчиками, а какие-то остаются как есть. Чем и пользуются злоумышленники. А ведь с помощью взломанного сайта можно нанести большой вред как его пользователям, так и серверам, на которых он размещён.

Типы уязвимостей сайтов

При создании веб-страниц используется много смежных электронных технологий. Какие-то являются совершенными и проверены временем, а какие-то новые и ещё не обкатанные. В любом случае имеется масса разновидностей уязвимостей сайтов:

  • XSS. Каждый сайт обладает небольшими формами. С их помощью пользователи вводят данные и получают какой-либо результат, проводят регистрации или отправляют сообщения. Подстановкой в эти формы специальных значений можно спровоцировать выполнение определённого скрипта, что может вызвать нарушение целостности сайта и компрометирование данных.
  • SQL-инъекция. Очень распространённый и эффективный способ получить доступ к конфиденциальным данным. Происходить это может либо через адресную строку, либо через формы. Процесс проводится путем подстановки значений, которые могут не отфильтровываться скриптами и выполнять запросы в базу данных. А при должных знаниях это может вызвать нарушение безопасности.

уязвимости сайтов

  • HTML-ошибки. Практически то же самое, что и XSS, но внедряется не скрипт-код, а HTML.
  • Уязвимость сайтов, связанная с размещением файлов и каталогов в местах по умолчанию. Например, зная структуру веб-страниц, можно добраться до кода административной панели.
  • Недостаточная настройка защиты операционной системы на сервере. Если таковая уязвимость присутствует, то у злоумышленника появляется возможность выполнить произвольный код.
  • Плохие пароли. Одна из самых очевидных уязвимостей сайтов — использование слабых значений для защиты своей учётной записи. Особенно, если она с правами администратора.
  • Переполнение буфера. Используется при замене данных из памяти, вследствие чего можно внести свои коррективы. Встречается при задействовании несовершенного программного обеспечения.
  • Замена страниц веб-ресурса. Воссоздание точной копии сайта, зайдя на который пользователь может не заподозрить подвоха и ввести свои личные данные, через некоторое время переходящие злоумышленнику.
  • Отказ в обслуживании. В основном под этим термином понимают атаку на сервер, когда он получает большое количество запросов, которые не может обработать и попросту «падает» или же становится не способным обслужить настоящих пользователей. Уязвимость же заключается в том, что фильтр по IP не настроен должным образом.

Поиск уязвимостей сайта

Специалисты по безопасности проводят особый аудит веб-ресурсов на наличие ошибок и недочётов, способных привести к взлому. Такая проверка сайта называется пентестинг. В процессе анализируется исходный код, используемые CMS, наличие уязвимых модулей и много других интересных проверок.

проверка сайта

SQL-инъекция

Этот тип проверки сайта устанавливает, фильтрует ли скрипт полученные значения при составлении запросов в базу данных. Провести простейшее тестирование можно и вручную. Как найти уязвимость SQL на сайте? Сейчас будет рассмотрено.

К примеру, имеется некий сайт мой-сайт.рф. На его главной странице есть какой-либо каталог. Зайдя в него, можно обнаружить в адресной строке что-то наподобие мой-сайт.рф/?product_id=1. Есть вероятность, что это и есть запрос в базу. Для поиска уязвимостей сайта сначала можно попробовать подставить в эту строку одинарную кавычку. В итоге должно быть мой-сайт.рф/?product_id=1'. Если при нажатии клавиши "Ввод" на странице появилось сообщение об ошибке, то уязвимость имеется.

Теперь можно использовать различные варианты подбора значений. Применяются операторы объединения, исключения, комментирования и многие другие.

XSS

Данный тип уязвимости может быть двух видов — активный и пассивный.

Активный подразумевает внедрение участка кода в базу данных или прямо в файл на сервере. Он более опасен и непредсказуем.

Пассивный режим предусматривает заманивание жертвы на определённый адрес сайта, содержащего вредный код.

С помощью XSS злоумышленник может украсть Cookies. А в них могут содержаться важные данные пользователя. Ещё более ужасными последствиями обладает кража сессии.

Также хакер может использовать скрипт на сайте таким образом, чтобы форма в момент отправки её пользователем отдавала информацию прямиком в руки злоумышленнику.

Автоматизация процесса поиска

В сети можно найти массу интересных сканеров уязвимостей сайта. Какие-то поставляются отдельно, какие-то идут в комплекте с несколькими подобными и объединены в один общий образ, наподобие Kali Linux. Далее будет представлен обзор наиболее популярных средств для автоматизации процесса сбора информации об уязвимостях.

Nmap

Самый простой сканер уязвимостей сайта, который может показать такие подробности, как операционная система, используемые порты и сервисы. Типичный пример применения:

nmap -sS 127.0.0.1, где вместо локального IP нужно подставить адрес реального тестируемого сайта.

сканер уязвимостей сайта

Вывод сообщит о том, какие сервисы запущены на нем, и какие порты в этот момент открыты. На основе этой информации можно попробовать использовать уже выявленные уязвимости.

Вот несколько ключей nmap для более пристрастного сканирования:

  • -A. Агрессивное сканирование, которое вывалит очень много информации, но может занять значительное время.
  • -O. Пытается определить операционную систему, задействованную на сервере.
  • -D. Подменит IP адреса, с которых производится проверка, чтобы при просмотре логов сервера невозможно было определить, откуда произошла атака.
  • -p. Диапазон портов. Проверка сразу нескольких служб на наличие открытых.
  • -S. Позволит указать нужный IP адрес.

WPScan

Данная программа для сканирования сайта на уязвимость входит в дистрибутив Kali Linux. Ориентирован на проверку веб-ресурсов на системе управления контентом WordPress. Написана она на Ruby, поэтому запускается примерно так:

ruby ./wpscan.rb --help. Эта команда покажет все доступные ключи и литеры.

Для запуска простой проверки можно использовать команду:

ruby ./wpscan.rb --url какой-то-сайт.ру

В общем WPScan - довольно простая в использовании утилита для проверки своего сайта на "ВордПресс" на уязвимости.

программа для сканирования сайта на уязвимость

Nikto

Программа проверка сайта на уязвимости, которая также имеется в дистрибутиве Kali Linux. Обладает богатым функционалом при всей своей простоте:

  • сканирование по протоколам с HTTP и HTTPS;
  • обход многих встроенных инструментов обнаружения;
  • множественное сканирование портов, даже в нестандартном диапазоне;
  • поддержка использования прокси-серверов;
  • имеется возможность реализации и подключения плагинов.

Для запуска nikto нужно, чтобы в системе был установлен perl. Простейший анализ выполняется так:

perl nikto.pl -h 192.168.0.1.

Программе можно «скормить» текстовый файл, в котором перечислены адреса веб-серверов:

perl nikto.pl -h file.txt

Данная утилита поможет не только специалистам по безопасности для проведения пентестов, но и администраторам сетей и ресурсов для поддержания работоспособности сайтов.

как найти уязвимость на сайте sql

Burp Suite

Очень мощный инструмент для проверки не только сайтов, но мониторинга любой сети. Обладает встроенной функцией модификации передаваемых запросов на тестируемый сервер. Умный сканер, способный в автоматическом режиме искать по нескольку типов уязвимостей сразу. Имеется возможность сохранить результат текущей деятельности, а затем возобновить её. Гибкость, позволяющая не только использовать сторонние плагины, но и писать свои.

Утилита имеет собственный графический интерфейс, что, несомненно, удобно, особенно для начинающих пользователей.

SQLmap

Наверное, самый удобный и мощный инструмент для поиска SQL и XSS уязвимостей. Список его достоинств можно выразить так:

  • поддержка практически всех видов систем управления базами данных;
  • умение использовать шесть основных способов определения и применения SQL-инъекций;
  • режим перебора пользователей, их хешей, паролей и других данных.

Перед использованием SQLmap обычно сначала находят уязвимый сайт посредством дорков — заготовок запросов поисковых систем, помогающих ориентировочно отсеять необходимые веб-ресурсы.

уязвимости сайтов онлайн

Затем адрес страниц передаётся программе, и она проводит проверку. При успешном определении уязвимости утилита может сама её и использовать, получая полный доступ к ресурсу.

Webslayer

Небольшая утилита, которая позволяет провести атаку перебором. Может «брутфорсить» формы ресурса, сессии, параметры сайта. Поддерживает многопоточность, что отлично сказывается на производительности. Также может рекурсивно подбирать пароли во вложенных страницах. Имеется поддержка прокси.

поиск уязвимостей сайта

Ресурсы для проверки

В сети присутствует несколько инструментов для проверки уязвимости сайтов онлайн:

  • coder-diary.ru. Простой сайт для тестирования. Достаточно ввести адрес проверяемого ресурса и нажать «Проверить». Поиск может занять длительное время, поэтому есть возможность указать адрес своей электронной почты для того, чтобы по завершении проверки результат пришёл прямо в ящик. В базе сайта имеется около 2500 известных уязвимостей.
  • https://cryptoreport.websecurity.symantec.com/checker/. Онлайн-сервис проверки наличия сертификата SSL и TLS от компании Symantec. Требуется только адрес проверяемого ресурса.
  • https://find-xss.net/scanner/. Проект сканирует отдельный файл PHP сайтов на уязвимости или их архив в формате ZIP. Можно указать типы проверяемых файлов и символы, по которым экранируются данные в скрипте.
  • http://insafety.org/scanner.php. Сканер для тестирования сайтов на платформе "1С-Битрикс". Простой и понятный интерфейс.

Алгоритм проведения проверки на уязвимости

Любой специалист по сетевой безопасности выполняет проверку по простому алгоритму:

  1. Сначала он вручную или с помощью автоматизированных инструментов анализирует, имеются ли на сайте уязвимости. Если да, то он определяет их тип.
  2. В зависимости от разновидности присутствующей уязвимости выстраивает дальнейшие ходы. Например, если известна CMS, то подбирается соответствующий метод атаки. Если же это SQL-инъекция, то подбираются запросы в базу данных.
  3. Главной задачей является получение привилегированного доступа к административной панели. Если же такового добиться не удалось, может стоит попробовать формы и подделку адреса с внедрением в него скрипта с последующей передачей жертве.
  4. Если какая-либо атака или проникновение удалось, то начинается сбор данных: имеются ли ещё уязвимости, какие недочёты присутствуют.
  5. На основе полученных данных специалист по безопасности сообщает владельцу сайта о существующих проблемах и способах их устранения.
  6. Уязвимости устраняются его руками или с привлечением сторонних мастеров.

Несколько советов по безопасности

Тем, кто самостоятельно занимается разработкой собственного сайта, помогут это простые советы и рекомендации.

Входящие данные нужно фильтровать таким образом, чтобы скрипты или запросы не могли запуститься автономно или отдать данные из базы.

Использовать сложные и стойкие пароли для входа в административную панель, чтобы избежать возможного брутфорса.

Если сайт строится на основе какой-либо CMS, нужно как можно чаще обновлять её и применять только проверенные плагины, шаблоны и модули. Не стоит перегружать сайт ненужными компонентами.

Чаще проверять журналы сервера на наличие подозрительных вхождений или действий.

Проверить собственный сайт несколькими сканерами и сервисами.

Правильная настройка сервера — залог его стабильной и безопасной работы.

По возможности нужно использовать сертификат SSL. Это позволит избежать перехвата личных и конфиденциальных данных между сервером и пользователем.

Инструменты для обеспечения безопасности. Имеет смысл установить или подключить программные средства для предотвращения проникновений и внешних угроз.

Заключение

Статья получилась объёмная, однако даже её не хватит для описания в подробностях всех аспектов сетевой безопасности. Для того чтобы справиться с задачей защиты информации, придётся изучить немало материалов и инструкций. А также освоить кучу инструментов и технологий. Можно обратиться за советом и помощью к профессиональным компаниям, которые специализируются на проведении пентестов и аудита веб-ресурсов. Хотя такие услуги и выльются в неплохую сумму, все же безопасность сайта может быть гораздо дороже как в экономическом плане, так и в репутационном.

fb.ru

Тестирование сайтов на предмет взлома, защита сайта от взлома

Для того, чтобы продавать товары и услуги, ваш сайт должен быть также защищен от взлома. Конечно, на 100% гарантировать этого никто не может. В сети «Интернет» довольно много талантливых хакеров, которые при желании могут взломать почти любой сайт. Тем более если им дать денег. На хакерских форумах часто можно видеть предложение подобных услуг.

Но от самых распространенных методов взлома ваш сайт должен быть защищен! К сожалению, многие разработчики оставляют в коде сайта большое количество «дыр», из-за которых ваш бизнес может серьезно пострадать. Порой даже сайты серьезных корпораций довольно слабо защищены от хулиганов.

Самые распространенные «дыры» и методы защиты от них

К сожалению, большинство веб-сайтов и серверов, на которых расположены веб-сайты, имеют свои слабые места или, проще говоря «дыры». По данным исследователей уязвимостей веб-приложений, около 63% сайтов имеют критические уязвимости (http://www.ptsecurity.ru/stat2007.asp). И, что еще хуже, в 93 случаях из 100 веб-сайты имеют уязвимости средней степени риска. Это означает лишь то, что их можно взломать и, тем самым, причинить владельцу определенные убытки. Не думаю, что вас устроит такое положение дел.

Среди «дыр», которые могут присутствовать на сайтах, можно выделить следующие:

(информация взята с http://www.ptsecurity.ru/stat2007.asp).

Как видно, уязвимостей много и некоторые из них встречаются довольно часто.

Как закрыть «дыры»?

Сразу скажу, что на 100% «дыры» в сайте закрыть очень тяжело. Иначе говоря, 100% гарантию дают только в морге. Но самые «очевидные» уязвимости выявлять и устранять можно и нужно. Причем желательно еще на этапе разработки сайта. Сделать это можно при помощи специализированного программного обеспечения. Благо, такое программное обеспечение есть и даже можно попробовать бесплатные версии. Обзор некоторых программ можно найти здесь (www.xakep.ru/post/37183/default.asp). Практически все программы могут «ловить» те или иные уязвимости и выдавать отчеты с рекомендациями к действию.

Очень важно, чтобы эти действия были проведены как на уровне разработчиков сайта (веб-программистов), так и на уровне тех, кто отвечает за сервера (сисадмины). Иначе может оказаться, что на сайте все «дыры» закрыты, а вот на сервере для хакеров сплошное раздолье.

В моей практике приходилось использовать X-Spider. Это программный комплекс, позволяющий искать уязвимости как на уровне сервера, так и на уровне сайта. Достаточно мощный и с доступными отчетами. Как для сисадмина, так и для обычного менеджера, ничего не понимающего в железе и Линуксе. Единственный «недостаток» такого софта – он стоит денег. Хотя и небольших. Подробнее про сам софт и отчеты можно почитать, например, в этом обзоре (http://www.ixbt.com/soft/xspider7.shtml).

Еще можно после всех ваших свершений заплатить некоторую сумму в долларах хакерам, чтобы они попробовали вас поломать. Когда поломают, пусть заодно расскажут о дырах, через которые поломали.

А теперь жуткая банальщина, но, все-равно, я вынужден это написать.

После проведения тестирования уязвимостей надо составить некий план по их устранению. После того, как все сделано, еще раз проверить все на уязвимости. И так до бесконечности J

 

sevostianov.com

Анализ сайта на уязвимости онлайн

Опубликовано в Проверка веб-сайтов   18 Июля, 2017

В начале февраля 2017 года многие сайты на Вордпресс, которые не успели обновиться до актуальной версии, подверглись хакерским атакам. Хакеры заменили содержание последней записи или статьи на свою подпись. Причиной взлома стала уязвимость в версии CMS.

Поиск уязвимостей на сайте

Это было относительно безобидная атака — восстановить содержание последней записи относительно просто. Но иногда владельцы ресурсов навсегда теряют доступ к своим сайтам, у них воруют платежные данные клиентов или трафик.

Один из способов защиты от взлома — регулярное тестирование сайта на уязвимости разными сервисами.

Какие уязвимости на сайте можно обнаружить во время анализа?

Уязвимости могут быть и на самописных движках, и на платных CMS. От них не застрахован никто. Владельцы сайтов, у которых нет возможности содержать штатного программиста, часто либо вообще не мониторят сайт на уязвимости, либо используют платные или бесплатные сервисы для анализа сайта.

Использование сервисов для поиска уязвимостей не гарантирует, что сайт не взломают. Их возможности ограничены, поэтому чаще всего они могут найти только некоторые ошибки:

  • XSS-инжекты (Cross Site Scripting injection) — на ваш сайт могут добавить кусочек стороннего кода на любую страницу сайта. Через эту уязвимость хакеры могут собрать персональную и платежную информацию ваших пользователей. Например, данные банковских карт или емейлы.
  • SQL-инжекты — через них можно получить доступ к базе данных сайта, редактированию и добавлению файлов на сайт. Хакеры могут украсть ваш сайт или удалить важную информацию с него.

Как выбрать сервис для тестирования сайта на уязвимости?

Есть три типа сервисов для поиска уязвимостей и ошибок на сайте — программы, требующие установки на компьютер, онлайн- и облачные сервисы.

Программы для поиска уязвимостей

Программу нужно скачать и установить на свой компьютер. Потом запустить проверку сайта. На форумах специалисты пишут, что таким способом можно найти наибольшее число уязвимостей и ошибок. Но чтобы исправить все эти ошибки, вам придется разбираться самостоятельно или обратиться за помощью к разработчику.Программа ищет уязвимости и ошибки не постоянно, а только когда вы запускаете проверку. Поэтому, чтобы находить ошибки раньше хакеров, проверяйте сайт почаще.Пример программы для тестирования сайта на ошибки и уязвимости: SQLmap.

Чтобы установить программу sqlmap, перейдите на страницу загрузки и скачайте архив

Онлайн-сервисы

Для работы с онлайн-сервисами ничего скачивать и устанавливать не нужно. Они работают в браузере.Некоторые сервисы просто выдают список уязвимостей и ошибок. Другие (например, coder-diary.ru) дают не только список, но и подсказывают их как устранить.

Пример рекомендации по устранению уязвимости в сканере от coder-diary.ruРазные сервисы могут находить разные ошибки. Мы рекомендуем проверять ошибки сразу в нескольких сервисах, чтобы получить максимально полный отчет.Также обратите внимание, что некоторые онлайн-сервисы для анализа сайтов могут быть платными.

Примеры сервисов:

  • Сканер уязвимостей сайта от coder-diary.ru
  • Website Grader

Результаты сканирования сайта в Website Grader

Облачные сервисы

Сканируют сайт с помощью файла, который владелец сайта должен разместить в корневом каталоге сайта.После подключения сайта мониторинг на уязвимости и ошибки проходит в онлайн режиме. При возникновении угрозы владельцу сайта на электронную почту приходит письмо с описанием угрозы, вероятной причиной ее возникновения и рекомендованными путями решения проблемы.Этот способ предпочтителен, если над сайтом одновременно работают несколько человек и могут случайно или намеренно добавить уязвимый php-код.К сожалению, в бесплатном доступе подобных сервисов нет — за эту услугу нужно ежемесячно платить.Пример такого сервиса — VirusDie.

Внешний вид отчетов в VirusDie

Что делать после того, как я нашел уязвимости?

Если вы знаете, как исправить ошибку — исправляйте. Если доступы к файлам и дыры в коде для вас дремучий лес, то лучше постараться в этом разобраться или найти хорошего программиста.Иногда сервисы для диагностики сайта на уязвимости могут выдать ложные ошибки. Поэтому при их исправлении руководствуйтесь, прежде всего, здравым смыслом или обратитесь к программистам.

virusdie.ru

Как проверить свой сайт на уязвимость

Опубликовано в Проверка веб-сайтов   18 Июля, 2017

Для владельца сайта вопрос безопасности его виртуальной площадки — один из первоочередных. Несмотря на постоянные призывы компьютерных экспертов, программистов к постоянному мониторингу и защите данных, до сих пор 48 % интернет-ресурсов крупных компаний имеют в своём коде значимые критические уязвимости.

Проверка сайта на уязвимости важна в первую очередь потому, что методы несанкционированного доступа злоумышленников постоянно совершенствуются.

Возможные способы взлома сайта

В программистской среде выделяют несколько методов взлома страниц через уязвимости:

  • Внедрение SQL-кода (или так называемая SQL-injection)
  • Межсайтовый скриптинг (словосочетание, переведённое буквально с английской аббревиатуры XSS – cross-site Scripting)
  • Межсайтовая подделка запроса (калька с англоязычного словосочетания cross site request forgery или CSRF)
  • PHP injection – взлом сайтов, работающих на основе языка PHP.

Даже успешно проведённое тестирование сайта на уязвимости не гарантирует полной безопасности, поскольку никто не отменял ещё и несколько десятков различных способов DDoS атак. Которые сами по себе не способствуют взлому сайта, но «бьют» по функциональности интернет-ресурса довольно жёстко.

Из всех вышеприведённых методов взлома наиболее распространённым считается SQL-injection. Для понимания: SQL представляет собой тот язык и набор команд, с помощью которого владелец сайта поддерживает связь с базой данных. И нарушение установленного алгоритма за счёт внедрения чужеродного SQL-кода естественным образом нарушает нормальную работу сайта.

Как проверить сайт на уязвимость

Провести мониторинг своего интернет-ресурса позволяют множество специализированных онлайн-сканеров.

С их помощью, однако, можно только проверить сайт на уязвимость. Для устранения возможных «дыр» в коде лучше всего обратиться к специалистам, которые занимаются проблемами несанкционированного доступа на профессиональной основе.

Интернет-сервис VirusDie, созданной командой такого рода специалистов, предлагает ряд современных, актуальных инструментов. Которые не просто помогут защитить сайт от вирусов и от несанкционированного доступа к базе данных, но и выявят все имеющиеся уязвимости.

virusdie.ru

Взлом сайта с помощью другого сайта. Доверяй, но проверяй / Хабр

Обратился к нам в компанию клиент, очередных горе разработчиков. Не могу мол понять, почему то сайт не работает. Хостинг вроде оплатил, домен продлен, что не так с сайтом совсем не знает.

После более подробной беседы, выяснилось:

  • Аккаунт хостинга, на котором был расположен сайт, ранее был блокирован за рассылку спама.
  • По словам клиента проблема решилась, когда он обратился к предыдущим разработчикам, они восстановили доступ и все снова стало работать как раньше.
  • Какие именно манипуляции проводили разработчики он не знает, так как хостинг зарегистрирован не на него, а на какого то его друга, который и посоветовал ему этих ребят.
  • Сайт снова не работает, но связаться с кем либо из тех кто устранял проблему в прошлый раз, на данный момент, он не может.
Нам стало интересно, что же там такое происходит с сайтом, что он уже второй раз выходит из строя. Мы попросили клиента связаться со своим другом, на которого оформлен хостинг и узнать у него доступы к панели управления, а сами связались со службой технической поддержки хостинга, для уточнения причин неработоспособности сайта.Для тех кто зашел прочитать непосредственно про взлом, можете смело жмакать сюда. Ну а для тех кому интересна вся история целиком, как все было обнаружено, читайте полностью.

После ответа службы поддержки стало ясно, что доступ к панели управления заблокирован, как и сам аккаунт, за распространение спам писем и получить доступ к нему возможно только по предоставлению данных для входа и IP к которому будет привязан временный доступ.Да, все верно, те же грабли. Разница в этот раз была лишь в том, что по словам друга, который согласился предоставить данные от хостинга, сайта на аккаунте больше нет и восстановить ничего не выйдет. Так ему сказали те самые разработчики, которые очень "эффективно" решили проблему в прошлый раз.

Немного порассуждав, мы решили попытать счастья и постараться восстановить сайт из бэкапов, которые должны были храниться у хостинг провайдера. Предоставили всю необходимую информацию и IP адрес, с которого будет производиться вход. Зашли в аккаунт и первым делом решили посмотреть историю запросов к службе поддержки, по предыдущему случаю блокировки.

Переписка оказалась небольшой и нам удалось выяснить, что:

  1. Был подобран пароль к админке сайта.
  2. Через модуль установки плагинов, был вшит скрипт рассылки спам писем.
  3. Никаких профилактических работ ребята не предпринимали, а попросту решили восстановить сайт из бэкапа, при этом не трогая базу данных и не меняя пароля к ней и админке сайта.
  4. По прошествии какого то времени аккаунт снова был заблокирован, по причине того, что они не устранили скрипт.
Скриншот переписки Проверив фалы в корневом каталоге, мы обнаружили, что сайт существует и никто его не удалял, как нам сообщил ранее друг клиента. Более того, последний вход в аккаунт был произведен как раз после предыдущего инцидента взлома. Больше в аккаунт никто не заходил.

Мы создали новый запрос в техподдержку, с просьбой уточнить, в каких именно файлах был обнаружен вредоносный скрипт, для того, что бы иметь хоть какое то представление, что искать.

Как же производили взлом и рассылку

Получив ответ службы поддержки, мы нашли нужный файл и увидели там это:

Пройдясь по всем файлам сайта, было обнаружено такое же содержимое еще в 74 файлах шаблона. Проанализировав код, проверив все пути, мы поняли, что:

  1. После взлома админки сайта, по средствам установки плагина, был внедрен вредоносный скрипт
  2. Через переменную $_POST на адрес сайта посылался запрос содержащий исполнительный код, который выполнялся во всех файлах, в которых была данная строка, а в данном случае таких фалов было 74.
  3. После выполнения скрипта, с аккаунта производилась рассылка спам писем, адреса которых хранились во все той же базе данных сайта, в отдельной таблице, которую предыдущие разработчики не удосужились проверить.
  4. Так же, в базе данных была обнаружена еще одна таблица, не относящаяся к сайту, в которой хранился зашифрованный base64 код, который не только выполнял восстановление удаленных вредоносных строк во всех файлах, но и занимался более интересными вещами (об этом чуть ниже).
  5. Горе гении, которые якобы выполняли очистку в прошлый раз, видимо не захотели углубляться в проблему и выполнять тяжелую работу по очистке всех файлов вручную, дабы избежать повторного заражения. Либо же они имели непосредственное отношение к данному скрипту (так как очистка сайта от вирусов, по прайсу, указанному на их сайте, стоила не маленькую сумму).
Мы почистили все файлы, очистили базу данных, сменили все доступы от сайта и хостинга, а так же сообщили техподдержке о том, что проблема устранена. Аккаунт был разблокирован и сайт снова стал доступен.

О скрипте, найденном в базе данных взломанного сайта

Скрипт, который был зашифрован в кодировке base64 и хранился в базе данных в виде текста, не только выполнял функцию восстановления всех удаленных строк вредоносного кода, но и являлся скриптом брутфорса.

Основная функция которую он выполнял, заключалась в посыле POST и GET запросов, на адреса админок различных сайтов, с логинами и паролями, так же хранимыми в одной из таблиц базы данных. После успешно выполненной операции по подбору, он записывал правильную пару логин: пароль в еще одну таблицу, доступ к которой можно было получить обратившись с правильным запросом к одному их 74 зараженных файлов, прямо из окна браузера.

Такими манипуляциями злоумышленники не только ускоряли процесс сбора паролей, но и увеличивали базу сайтов, с которых велась спам рассылка и выполнялся подбор паролей к другим сайтам.

Такой цикл может продолжаться бесконечно. Если один из владельцев сайта находит вирус и удаляет его, то это небольшая потеря для злоумышленников, потому как в их распоряжении огромная база таких вот лазеек, которая увеличивается с каждым днем.

P.S.: для тех кто желает видеть скрипт. Скриншоты и примеры вредоносного скрипта небыли выложены по причине того, что всегда найдутся личности, использующие пример кода как основу для своих детищ, а я не хочу являться причиной создания и распространения очередного вредоносного скрипта.

habr.com