Сравнительный анализ сервисов оценки безопасности веб-сайтов
Как быстро понять, насколько уязвим ваш веб-сайт? Легко ли его взломать? А может, он уже взломан?
В общем случае, точные и полные ответы на эти вопросы даются непросто. Вам нужен пентест, который займёт не менее 1 недели и 1500 долларов. Либо расследование инцидента, если он уже очевиден. Например, произошёл дефейс или блокирование сайта, утечка информации и т.д.
А что если нужно заранее понять, насколько всё может быть плохо, но при этом не потратить много сил и времени? Например, для того, чтобы просто получить “пёрышко на чаше весов”, которое нарушит равновесие и ликвидирует последние сомнения о необходимости отложить публикацию сайта и поработать ещё пару недель над его безопасностью. Или чтобы попытаться самостоятельно найти крупную дыру, через которую уже произошёл взлом опубликованного сайта.
Самый быстрый и простой способ – просканировать сайт на уязвимости и другие проблемы безопасности. Для этого нужно воспользоваться сервисами, которые мы описали в нашем обзоре онлайн-инструментов анализа безопасности сайтов.
Введение
Целью данного обзора не является определение самых функциональных и точных сканеров, предоставляющих максимум информации, а определение сканеров, оптимальных для быстрых задач оценки безопасности неспециалистами по безопасности.
Поэтому в ходе обзора мы оценивали следующий набор параметров: возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и количество бесплатного функционала.
Обзор мы разделили на три части (“весовые категории” или “лиги”):
- 16 универсальных сканеров безопасности веб-сайтов.
- 4 узкоспециализированных сканера безопасности веб-сайтов на платформе CMS WordPress. Эта платформа была наиболее популярной платформой построения веб-сайтов на протяжении последних 10 лет, и остаётся наиболее востребованной в 2021 году.
- 1 полезный сервис оценки безопасности, включённый в бонусную категорию.
Сервисы оценки безопасности мы упорядочили по их названиям в алфавитном порядке.
Универсальные сканеры безопасности веб-сайтов
1. Acunetix
Классический коммерческий сканер уязвимостей веб-сайтов. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик. Процесс получения временной бесплатной версии сложен. Бесплатное использование на протяжении 14 дней. Сервис даёт полезные результаты.
2. Detectify
Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, и работает бесплатно только 14 дней. Сканер достаточно сложен в использовании, хотя в сегменте коммерческих сканеров встречаются и более сложные продукты. Цены Detectify практически не отстают от уровня мировых лидеров рынка. Сканирование работает медленно, несколько часов, и даёт приличное количество результатов.
3. H-X Scanner
Бесплатный онлайн-сканер уязвимостей. Работает с 2016 года и имеет два режима: быстрый и нормальный. Сервис достаточно прост в использовании и не требует регистрации. Нужно ввести адрес вашего сайта и адрес электронной почты для получения отчёта о безопасности. В быстром режиме первые результаты можно получить в реальном времени в течение нескольких секунд после запуска. Весь процесс сканирования в быстром режиме занимает 5 минут. В нормальном режиме не нужно держать сайт сканера открытым. Отчёты о сканировании приходят на емайл. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объёма сайта. В нормальном режиме отчёт весьма удобный. Он содержит резюме и подробности в табличном виде. Предусмотрен функционал ручной верификации уязвимостей. Общий вывод – очень удобный сервис с относительно подробными отчётами, пригодными для глубокого ручного анализа и обработки.
4. ImmuniWeb
Компания ImmuniWeb активно развивается на рынке профессиональных решений по информационной безопасности. Веб-сайт этой компании и её бесплатный сервис оценки безопасности веб-сайтов имеют простой, удобный и весьма продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Сервис работает не очень быстро, но предоставляет очень удобные и наглядные результаты.
5. Intruder
Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней. Работает довольно медленно и предоставляет не много результатов.
6. Netsparker Cloud
Один из классических коммерческих сканеров. Конкурент Acunetix, что особенно заметно в процессе получения пробной бесплатной версии, которая действует также только 14 дней. Требует непростую корпоративную регистрацию. Сервис предоставляет относительно много результатов, и даёт ложные срабатывания.
7. Norton Safe Web
Сервис от знаменитого антивируса лишний раз доказывает, что антивирусные компании сравнительно плохо справляются с оценкой безопасности веб-сайтов. Несмотря на то, что сканер бесплатный и легко запускается, он не даёт никаких результатов, если только ваш сайт уже не находится в базе данных сервиса. Попадание сайта в эту базу данных – непростая задача.
8. Observatory
Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов выяснить состояние их безопасности. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т. д. Функционал несколько ограничен, но инструмент, несомненно, достойный.
9. Pentest-Tools
Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет сильно ограниченные результаты. Сайт рекламирует платные проверки с богатым функционалом.
10. Probely
Этот платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования 14 дней. Регистрация и использование не сложные. Сервис Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, но в бесплатном режиме выдаёт весьма ограниченное количество результатов.
11. Quttera
Этот бесплатный инструмент в некоторой мере аналогичен сканеру Sucuri, описанному ниже, и даёт немного больше результатов. Он работает немного дольше, хотя в целом довольно быстро – несколько десятков секунд. Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, на наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и в списках вредоносных программ. Практически все сканеры уязвимостей время от времени дают ложные срабатывания, заявляя о проблемах безопасности там, где их реально нет. Но Quterra делает это весьма безапелляционно и навязчиво, сразу же предлагая купить их услуги по устранению проблем. Например, этот сервис ругается на несуществующую угрозу “Malicious obfuscated JavaScript threat”. Такое поведение подрывает доверие к этому инструменту.
12. Sucuri SiteCheck
Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал – проверяет присутствие сайта в списках безопасного просмотра (Google, Yandex и т. д.) и в чёрных списках, проверяет наличие файрвола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков. Сканер ошибается с определением CMS, а также оценивает безопасность таких сайтов как, например, facebook.com или microsoft.com, на уровне medium risk. Это является заведомо недостоверным завышенным значением риска. В целом, сервис работает очень быстро, несколько секунд, но и информации даёт очень мало.
13. SiteGuarding
Сервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т. д. Сканер декларирует, что распознаёт WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы. Запускается умеренно сложно, регистрации не требует. Работает недолго, но результаты очень ограничены. Сложная навигация, сложный интерфейс, навязчивая реклама.
14. Tinfoil Security
Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.
15. UpGuard Scan
Этот платный инструмент выполняет оценку рисков. Он использует информацию о различных параметрах сайта. Процесс регистрации сложный. Пробная бесплатная версия действительна 7 дней.
16. VirusTotal
Знаменитый агрегатор антивирусов, который был приобретён компанией Google, имеет также функцию агрегации чёрных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдаёт результаты. Однако, по определению, полнота такой проверки ограничена, поскольку сервис не проверяет уязвимости сайта. Соответственно, сервис не даёт гарантий безопасности сайта.
Сканеры безопасности сайтов на базе WordPress
17. IsItWP Security Scanner
Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) низкая скорость работы, 2) функционал сканера ограничен только некоторыми проверками (в основном, на известное вредоносное ПО). Сайт поставщика рекламирует дополнительные сервисы по защите сайтов WordPress и описывает шаги по реагированию на инциденты безопасности. В целом, сервис оставляет впечатление сырого, и шансов получить от него полезную информацию мало.
18. Web Inspector
Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы. Регистрация, сравнительно с другими сервисами, не просто сложная, а очень сложная, так как требуется введение данных платёжной карты.
19. Wprecon
Сканер Wprecon для сайтов WordPress бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.
20. WPsec
Сканер сайтов на WordPress с ограниченной бесплатной версией. Он настойчиво рекомендует купить премиальную учётную запись. Сервис требует регистрацию и прост в использовании, но есть неудобства вроде операций с паролем входа в сервис. WPsec использует распространённый бесплатный движок WPscan. Этот движок является сканером уязвимостей, работающим в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности. Также этот движок известен тем, что он даёт большое количество ложных срабатываний. Сервис WPsec, несмотря на красивый интерфейс, медленный и в целом разочаровывает.
Бонус
21. Google Safe Browsing
Собственно, данный сервис не является сканером, а просто интерфейсом к “чёрному списку” Google. То есть, к базе данных, содержащей списки вредоносных сайтов. Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. По какой-либо причине вам может оказаться нужно обратиться к оригинальному сервису и не использовать сервисы посредников. Сервис интегрирован с Google Search Console, что достаточно удобно. Если вдруг ваш сайт окажется в чёрном списке, вы получите подробные инструкции о том, как удалить сайт оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр. Однако, поскольку не проверяет сайты на уязвимости, то малофункционален по сравнению с другими сервисами в нашем обзоре.
Сравнительный анализ
Напомним, что нашей целью было выявление быстрых, удобных, бесплатных онлайн-инструментов для анализа безопасности веб-сайтов. Сервисы со сложной регистрацией, сложным интерфейсом, медленные, дающие ограниченные результаты и тому подобные сканеры теряли очки при подсчёте.
В таблице результатов 0 баллов означает “нет или почти нет”, 1 – “частично”, 2 – “да, полностью или почти полностью”. Чтобы получить итоговую оценку, мы просуммировали первые 4 параметра оценки, затем результат умножили на оценку количества бесплатного функционала.
В лиге универсальных сканеров наш рейтинг выглядит следующим образом:
| Сканер | возможность бесплатного использования | простота использования | отсутствие регистрации | скорость нахождения проблем | количество бесплатного функционала | Итоговая оценка |
| H-X Scanner | 2 | 2 | 2 | 1 | 2 | 14 |
| ImmuniWeb | 2 | 2 | 2 | 1 | 2 | 14 |
| Norton Safe Web | 2 | 2 | 2 | 2 | 1 | 8 |
| Observatory | 2 | 2 | 2 | 2 | 1 | 8 |
| Sucuri SiteCheck | 2 | 2 | 2 | 2 | 1 | 8 |
| VirusTotal | 2 | 2 | 2 | 2 | 1 | 8 |
| Quttera | 1 | 2 | 2 | 2 | 1 | 7 |
| Acunetix | 1 | 0 | 0 | 2 | 2 | 6 |
| SiteGuarding | 1 | 1 | 2 | 2 | 1 | 6 |
| Pentest-Tools | 1 | 1 | 1 | 2 | 1 | 5 |
| Probely | 1 | 2 | 0 | 2 | 1 | 5 |
| Netsparker Cloud | 1 | 1 | 0 | 2 | 1 | 4 |
| Tinfoil Seurity | 1 | 1 | 0 | 1 | 1 | 3 |
| Detectify | 1 | 0 | 0 | 0 | 2 | 2 |
| Intruder | 1 | 0 | 0 | 1 | 1 | 2 |
| UpGuard Scan | 1 | 0 | 0 | 1 | 1 | 2 |
Таким образом, для быстрых задач оценки безопасности веб-сайтов мы рекомендуем пользоваться инструментами H-X Scanner и ImmuniWeb, которые обогнали конкурентов по рассматриваемому набору параметров.
В лиге сканеров безопасности WordPress рейтинг получился такой:
| Сканер | возможность бесплатного использования | простота использования | отсутствие регистрации | скорость нахождения проблем | количество бесплатного функционала | Итоговая оценка |
| Wprecon | 2 | 2 | 2 | 2 | 1 | 8 |
| IsItWP Security Scanner | 2 | 2 | 2 | 0 | 1 | 6 |
| WPsec | 1 | 2 | 0 | 0 | 1 | 3 |
| Web Inspector | 1 | 0 | 0 | 1 | 1 | 2 |
Получается, что сервис Wprecon выглядит наиболее полезным и удобным для проверки безопасности сайта на основе Вордпресс.
Заключение
Мы провели обзор 21 современного инструмента для бесплатной, быстрой, удобной оценки безопасности веб-сайтов в интерактивном режиме, а также сравнительный анализ 20 инструментов.
Таким образом, вне зависимости от того, какой у вас веб-сайт, если вы не хотите тратить много времени на анализ его безопасности, мы рекомендуем использование сервисов H-X Scanner и ImmuniWeb.
Если ваш сайт построен на платформе системы управления содержимым WordPress, дополнительно рекомендуем проверить сайт с помощью сервиса Wprecon.