Порівняльний аналіз сервісів оцінки безпеки веб-сайтів
Як швидко зрозуміти, наскільки вразливий ваш веб-сайт? Чи легко його зламати? А може, він уже зламаний?
У загальному випадку, точні та повні відповіді на ці питання даються непросто. Вам потрібен пентест, який займе не менше 1 тижня та коштуватиме 1500 доларів. Або розслідування інциденту, якщо він вже очевидний. Наприклад, стався дефейс або блокування сайту, витік інформації тощо.
А що якщо потрібно заздалегідь зрозуміти, наскільки все може бути погано, але при цьому не витратити багато сил та часу? Наприклад, для того, щоб просто отримати “пір’їнку на шальках терезів”, яка порушить рівновагу та ліквідують останні сумніви про необхідність відкласти публікацію сайту та попрацювати ще пару тижнів над його безпекою. Або щоб спробувати самостійно знайти велику діру, через яку вже стався злам опублікованого сайту.
Найшвидший та найпростіший спосіб – просканувати сайт на вразливості та інші проблеми безпеки. Для цього потрібно скористатися сервісами, які ми описали в нашому огляді онлайн-інструментів аналізу безпеки сайтів.
Вступ
Метою даного огляду не є визначення найбільш функціональних та точних сканерів, що надають максимум інформації, а визначення сканерів, оптимальних для швидких завдань оцінки безпеки нефахівцями з безпеки.
Тому в ході огляду ми оцінювали наступний набір параметрів: можливість безкоштовного використання, простота використання, відсутність необхідності реєстрації користувача, швидкість виявлення проблем і кількість безкоштовного функціоналу.
Огляд ми розділили на три частини (“вагові категорії” або “ліги”):
- 16 універсальних сканерів безпеки веб-сайтів.
- 4 вузькоспеціалізованих сканерів безпеки веб-сайтів на платформі CMS WordPress. Ця платформа була найбільш популярною платформою побудови веб-сайтів упродовж останніх 10 років, і залишається найбільш затребуваною у 2021 році.
- 1 корисний сервіс оцінки безпеки, включений у бонусну категорію.
Сервіси оцінки безпеки ми впорядкували за їхніми назвами в алфавітному порядку.
Універсальні сканери безпеки веб-сайтів
1. Acunetix
Класичний комерційний сканер вразливостей веб-сайтів. Перевіряє сайти на безліч вразливостей. Вимагає реєстрацію на корпоративний поштовий ящик. Процес отримання тимчасової безкоштовної версії складний. Безкоштовне використання протягом 14 днів. Сервіс дає корисні результати.
2. Detectify
Комерційний сканер безпеки сайтів, який дозволяє проводити кілька десятків автоматичних тестів безпеки, включаючи тести OWASP Top 10, наявність шкідливого програмного забезпечення та багато інших. Сервіс вимагає реєстрацію, та працює безкоштовно тільки 14 днів. Сканер досить складний у використанні, хоча в сегменті комерційних сканерів зустрічаються навіть складніші продукти. Ціни Detectify практично не відстають від рівня світових лідерів ринку. Сканування працює повільно, кілька годин, і дає гідну кількість результатів.
3. H-X Scanner
Безкоштовний онлайн-сканер вразливостей. Працює з 2016 року та має два режими: швидкий та нормальний. Сервіс досить простий у використанні та не вимагає реєстрації. Потрібно ввести адресу вашого сайту та адресу електронної пошти для отримання звіту про безпеку. У швидкому режимі перші результати можна отримати в реальному часі протягом декількох секунд після запуску. Весь процес сканування у швидкому режимі займає 5 хвилин. У нормальному режимі не потрібно тримати сайт сканера відкритим. Звіти про сканування надходять на емайл. Процес нормального сканування займає від кількох хвилин до кількох годин, залежно від складності та обсягу сайту. У нормальному режимі звіт досить зручний. Він містить резюме та подробиці в табличному вигляді. Передбачено функціонал ручної верифікації вразливостей. Загальний висновок – дуже зручний сервіс із відносно докладними звітами, придатними для глибокого ручного аналізу та обробки.
4. ImmuniWeb
Компанія ImmuniWeb активно розвивається на ринку професійних рішень з інформаційної безпеки. Веб-сайт цієї компанії та її безкоштовний сервіс оцінки безпеки веб-сайтів мають простий, зручний та дуже продуманий функціональний інтерфейс. Сканер перевіряє безпеку сервера вашого сайту, його відповідність вимогам стандартів PCI DSS і GDPR, заголовки HTTP, включаючи CSP, виконує специфічні тести CMS для сайтів на базі WordPress і Drupal, перевіряє уразливості бібліотек інтерфейсів і багато іншого. Сервіс працює не дуже швидко, але надає дуже зручні та наочні результати.
5. Intruder
Сучасний комерційний сканер широкого спектру вразливостей. Сервіс має розширені можливості на зразок аналізу безпеки хмарних систем та API. Зручний у використанні. Вимагає реєстрацію. Безкоштовний протягом 30 днів. Працює досить повільно та надає небагато результатів.
6. Netsparker Cloud
Один з класичних комерційних сканерів. Конкурент Acunetix, що особливо помітно у процесі отримання пробної безкоштовної версії, яка діє також тільки 14 днів. Вимагає непросту корпоративну реєстрацію. Сервіс надає відносно багато результатів, і дає помилкові спрацьовування.
7. Norton Safe Web
Сервіс від знаменитого антивірусу зайвий раз доводить, що антивірусні компанії порівняно погано справляються з оцінкою безпеки веб-сайтів. Незважаючи на те, що сканер безкоштовний і легко запускається, він не дає ніяких результатів, якщо тільки ваш сайт вже не знаходиться в базі даних сервісу. Попадання сайту в цю базу даних – непросте завдання.
8. Observatory
Безкоштовний сервіс від знаменитого проекту Mozilla. Сканер допоміг власникам кількох десятків мільйонів веб-сайтів з’ясувати стан їхньої безпеки. Сервіс простий у використанні, швидкий і наочний. Він перевіряє безпеку заголовків HTTP, виконує тести SSL, TLS, попереднього завантаження HSTS тощо. Функціонал дещо обмежений, але інструмент, безсумнівно, гідний.
9. Pentest-Tools
Швидкий і простий у використанні сканер, який має безкоштовну та платну частини. Безкоштовне сканування можна запустити лише два рази. Воно не вимагає реєстрації, але надає сильно обмежені результати. Сайт рекламує платні перевірки з багатим функціоналом.
10. Probely
Цей платний сканер вразливостей має якісний призначений для користувача інтерфейс і можливість пробного безкоштовного використання 14 днів. Реєстрація та використання не складні. Сервіс Probely зручний для розробників сайтів та веб-застосунків. Він містить не тільки функції пошуку вразливостей, але й повного циклу управління ними, включаючи їх усунення. Сервіс працює досить швидко, але в безкоштовному режимі видає вельми обмежену кількість результатів.
11. Quttera
Цей безкоштовний інструмент у деякій мірі аналогічний до сканера Sucuri, описаного нижче, та дає трохи більше результатів. Він працює трохи довше, хоча в цілому досить швидко – кілька десятків секунд. Сканер простий у використанні та дозволяє перевірити сайт на деякий обмежений перелік вразливостей, на наявність шкідливих і підозрілих файлів, а також аналізує присутність сайту в списках безпечного перегляду та в списках шкідливих програм. Практично всі сканери вразливостей час від часу дають помилкові спрацьовування, заявляючи про проблеми безпеки там, де їх реально немає. Але Quterra робить це досить безапеляційно та нав’язливо, відразу ж пропонуючи купити її послуги щодо усунення проблем. Наприклад, цей сервіс лається на неіснуючу загрозу “Malicious obfuscated JavaScript threat”. Така поведінка підриває довіру до цього інструменту.
12. Sucuri SiteCheck
Безкоштовний сканер Sucuri залишає непогане враження. SiteCheck простий у використанні. Працює з усіма типами сайтів, а не лише з WordPress. Сервіс має досить обмежений функціонал – перевіряє наявність сайту в списках безпечного перегляду (Google, Yandex тощо) і в чорних списках, перевіряє наявність файрволу, моніторингу, деякого шкідливого ПО, а також деяких протоколів і заголовків. Сканер помиляється з визначенням CMS, а також оцінює безпеку таких сайтів як, наприклад, facebook.com або microsoft.com, на рівні medium risk. Це є явно недостовірним завищеним значенням ризику. У цілому, сервіс працює дуже швидко, кілька секунд, але й інформації дає дуже мало.
13. SiteGuarding
Сервіс сканує сайти на наявність шкідливих програм, перевіряє чорні списки, спам тощо. Сканер декларує, що розпізнає WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin та інші платформи. Запускається помірно складно, реєстрації не вимагає. Працює недовго, але результати дуже обмежені. Складна навігація, складний інтерфейс, нав’язлива реклама.
14. Tinfoil Security
Інструмент платний, із можливістю безкоштовного демо. Налаштування Tinfoil Security помірно складна. Окремі тести проводяться, навіть якщо сайт захищений паролем, або для входу потрібна реєстрація. Є функціонал моніторингу.
15. UpGuard Scan
Цей платний інструмент виконує оцінку ризиків. Він використовує інформацію про різні параметри сайту. Процес реєстрації складний. Пробна безкоштовна версія дійсна 7 днів.
16. VirusTotal
Знаменитий агрегатор антивірусів, який був придбаний компанією Google, має також функцію агрегації чорних списків сайтів. Працює безкоштовно, максимально просто та миттєво видає результати. Однак, за визначенням, повнота такої перевірки обмежена, оскільки сервіс не перевіряє уразливості сайту. Відповідно, сервіс не дає гарантій безпеки сайту.
Сканери безпеки сайтів на базі WordPress
17. IsItWP Security Scanner
Безкоштовний, простий у використанні, не вимагає реєстрації сканер на базі движка Sucuri, з двома недоліками: 1) низька швидкість роботи, 2) функціонал сканера обмежений тільки деякими перевірками (в основному, на відоме шкідливе ПО). Сайт постачальника рекламує додаткові сервіси з захисту сайтів WordPress та описує кроки з реагування на інциденти безпеки. В цілому, сервіс залишає враження сирого, та шансів отримати від нього корисну інформацію мало.
18. Web Inspector
Онлайн-сканер для перевірки безпеки сайтів на базі WordPress. Сервіс сканує сайт за допомогою Google Safe Browsing і движка Comodo. Сканер перевіряє, чи є шкідливий код, бекдори, віруси, підозрілі скрипти та файли. Реєстрація, у порівнянні з іншими сервісами, не просто складна, а дуже складна, оскільки вимагає введення даних платіжної картки.
19. Wprecon
Сканер Wprecon для сайтів WordPress безкоштовний, простий у використанні та досить швидкий. Серед систем свого класу має найбільш докладні та зручні звіти, а також посилання на додатковий функціонал. Інструмент перевіряє версію WordPress, плагіни, теми, ідентифікацію користувачів, індексування каталогів, iframes, посилання, JavaScripts тощо. Результати досить повні.
20. WPsec
Сканер сайтів на WordPress з обмеженою безкоштовною версією. Він наполегливо рекомендує купити преміальний обліковий запис. Сервіс вимагає реєстрацію та є простим у використанні, але є незручності типу операцій із паролем входу в сервіс. WPsec використовує поширений безкоштовний движок WPscan. Цей движок є сканером вразливостей, які працюють у командному рядку. Він надає інформацію про застарілі версії WordPress, його компонентів та інші недоліки безпеки. Також цей движок відомий тим, що він дає велику кількість помилкових спрацьовувань. Сервіс WPsec, незважаючи на гарний інтерфейс, повільний та в цілому розчаровує.
Бонус
21. Google Safe Browsing
Власне, даний сервіс не є сканером, а просто інтерфейсом до “чорного списку” Google. Тобто, до бази даних, що містить списки шкідливих сайтів. Багато сканерів, згадані у цьому огляді, використовують Google Safe Browsing для своїх результатів. Може виявитися, що вам за будь-якої причини потрібно звернутися до оригінального сервісу та не використовувати сервіси посередників. Сервіс інтегрований з Google Search Console, що досить зручно. Якщо раптом ваш сайт виявиться в чорному списку, ви отримаєте докладні інструкції про те, як видалити сайт звідти. Сервіс безкоштовний, не вимагає реєстрації, простий у використанні та швидкий. Однак, оскільки не перевіряє сайти на уразливості, то малофункціональний у порівнянні з іншими сервісами в нашому огляді.
Порівняльний аналіз
Нагадаємо, що нашою метою було виявлення швидких, зручних, безкоштовних онлайн-інструментів для аналізу безпеки веб-сайтів. Сервіси зі складною реєстрацією, складним інтерфейсом, повільні, ті, що дають обмежені результати та тому подібні сканери втрачали бали під час підрахунку.
У таблиці результатів 0 балів означає “немає або майже немає”, 1 – “частково”, 2 – “так, повністю або майже повністю”. Щоб отримати підсумкову оцінку, ми підсумували перші 4 параметри оцінки, потім результат помножили на оцінку кількості безкоштовного функціоналу.
У лізі універсальних сканерів наш рейтинг виглядає наступним чином:
| Сканер | можливість безкоштовного використання | простота використання | відсутність реєстрації | швидкість знаходження проблем | кількість безкоштовного функціоналу | Підсумкова оцінка |
| H-X Scanner | 2 | 2 | 2 | 1 | 2 | 14 |
| ImmuniWeb | 2 | 2 | 2 | 1 | 2 | 14 |
| Norton Safe Web | 2 | 2 | 2 | 2 | 1 | 8 |
| Observatory | 2 | 2 | 2 | 2 | 1 | 8 |
| Sucuri SiteCheck | 2 | 2 | 2 | 2 | 1 | 8 |
| VirusTotal | 2 | 2 | 2 | 2 | 1 | 8 |
| Quttera | 1 | 2 | 2 | 2 | 1 | 7 |
| Acunetix | 1 | 0 | 0 | 2 | 2 | 6 |
| SiteGuarding | 1 | 1 | 2 | 2 | 1 | 6 |
| Pentest-Tools | 1 | 1 | 1 | 2 | 1 | 5 |
| Probely | 1 | 2 | 0 | 2 | 1 | 5 |
| Netsparker Cloud | 1 | 1 | 0 | 2 | 1 | 4 |
| Tinfoil Seurity | 1 | 1 | 0 | 1 | 1 | 3 |
| Detectify | 1 | 0 | 0 | 0 | 2 | 2 |
| Intruder | 1 | 0 | 0 | 1 | 1 | 2 |
| UpGuard Scan | 1 | 0 | 0 | 1 | 1 | 2 |
Таким чином, для швидких завдань оцінки безпеки веб-сайтів ми рекомендуємо користуватися інструментами H-X Scanner та ImmuniWeb, які обігнали конкурентів із даного набору параметрів.
У лізі сканерів безпеки WordPress рейтинг вийшов такий:
| Сканер | можливість безкоштовного використання | простота використання | відсутність реєстрації | швидкість знаходження проблем | кількість безкоштовного функціоналу | Підсумкова оцінка |
| Wprecon | 2 | 2 | 2 | 2 | 1 | 8 |
| IsItWP Security Scanner | 2 | 2 | 2 | 0 | 1 | 6 |
| WPsec | 1 | 2 | 0 | 0 | 1 | 3 |
| Web Inspector | 1 | 0 | 0 | 1 | 1 | 2 |
Виявляється, що сервіс Wprecon виглядає найбільш корисним і зручним для перевірки безпеки сайту на основі Вордпресс.
Висновок
Ми провели огляд 21 сучасного інструменту для безкоштовної, швидкої, зручної оцінки безпеки веб-сайтів в інтерактивному режимі, а також порівняльний аналіз 20 інструментів.
Таким чином, незалежно від того, який ви маєте веб-сайт, якщо ви не хочете витрачати багато часу на аналіз його безпеки, ми рекомендуємо використання сервісів H-X Scanner та ImmuniWeb.
Якщо ваш сайт побудований на платформі системи управління вмістом WordPress, додатково рекомендуємо перевірити сайт за допомогою сервісу Wprecon.