Как проверить безопасность сайта: 21 простой сервис
В этом обзоре — сканеры для простой и быстрой оценки безопасности сайта. Учитывались возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и объем бесплатного функционала.
Курс
MOTION DESIGN
Розкривайте свій творчий потенціал та створюйте динамічні анімації з основами Motion Design!
Більше про курсНе забывайте: если нужны точные и полные ответы о том, насколько уязвим ваш сайт и был ли он взломан, вам нужен пентест, который займет не меньше недели и будет стоить не меньше $1,5 тыс., либо расследование инцидента, если уже очевидно, что он произошел (например, дефейс, блокирование сайта, утечка информации и т.д.).
Универсальные сканеры безопасности веб-сайтов
1. Acunetix
Классический коммерческий сканер. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик.
Есть бесплатное использование на протяжении 14 дней. Сервис дает полезные результаты.
2. Detectify
Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, тесты на наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, работает бесплатно только 14 дней. Сканирование идет несколько часов и дает приличное количество результатов.
3. H-X Scanner
Бесплатный онлайн-сканер. Имеет два режима: быстрый и нормальный. Не требует регистрации: нужно ввести адрес вашего сайта и адрес электронной почты для получения отчета. В быстром режим весь процесс сканирования занимает пять минут. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объема.
Курс Англійської
Ваш викладач англійської sucks? Підберемо викладача, який також любить Star Wars, а не Star Trek
РЕЄСТРУЙТЕСЯ!4.
ImmuniWebСервис бесплатен и имеет простой, удобный и продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Работает не очень быстро, но предоставляет удобные и наглядные результаты.
5. Intruder
Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней.
6. Netsparker Cloud
Один из классических коммерческих сканеров. Конкурент Acunetix. Пробная бесплатная версия действует также 14 дней. Требует корпоративную регистрацию, предоставляет относительно много результатов.
7. Norton Safe Web
Сканер бесплатный и легко запускается, но не дает результатов, если только ваш сайт уже не находится в базе данных сервиса.
8. Observatory
Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т.д.
9. Pentest-Tools
Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет ограниченные результаты.
10. Probely
Платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования в течение 14 дней. Регистрация и использование несложные. Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, в бесплатном режиме выдает ограниченное количество результатов.
11. Quttera
Бесплатный инструмент, в некоторой мере аналогичен Sucuri, описанному ниже, но дает немного больше результатов. Работает тоже немного дольше, хотя в целом довольно быстро — несколько десятков секунд. Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и вредоносных программ.
12. Sucuri SiteCheck
Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал — проверяет присутствие сайта в списках безопасного просмотра (Google, «Яндекс» и т.д.) и в черных списках, проверяет наличие файервола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков.
Курс POWER BI
Вивчайте Power BI для аналізу даних та досягнення успіху вашого бізнесу!
Дізнатись про курс13.
SiteGuardingСервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т.д. Сканер декларирует, что распознает WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы.
14. Tinfoil Security
Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.
15. UpGuard Scan
Этот платный инструмент выполняет оценку рисков. Он использует информацию о различных параметрах сайта. Пробная бесплатная версия действительна 7 дней.
16. VirusTotal
Знаменитый агрегатор антивирусов, который приобрела компания Google. Имеет также функцию агрегации черных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдает результаты.
Сканеры безопасности сайтов на базе WordPress
17. IsItWP Security Scanner
Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) скорость работы, 2) функционал ограничен только некоторыми проверками (в основном, на известное вредоносное ПО).
18. Web Inspector
Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы.
19. Wprecon
Сканер бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.
20. WPsec
Сканер сайтов на WordPress с ограниченной бесплатной версией. WPsec использует распространенный бесплатный движок WPscan — сканер уязвимостей, работающий в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности.
Бонус
21. Google Safe Browsing
Это не сканер, а просто интерфейс к «черному списку» Google, то есть к базе данных, содержащей списки вредоносных сайтов.
Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. Сервис интегрирован с Google Search Console. Если вдруг ваш сайт окажется в «черном списке», вы получите подробные инструкции о том, как удалить его оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр, но не проверяет сайты на уязвимости.
Этот материал впервые вышел на Highload.today.
Этот материал – не редакционныйЭто – личное мнение его автора. Редакция может не разделять это мнение.
Проверка безопасности сайта | Является ли этот сайт безопасным и легальным
Безопасность сайта влияет на эффективность ранжирования в поисковиках. Ведь попадание домена в черные списки антивирусов может привести к пессимизации.
Периодическая проверка безопасности сайта должна быть в списке задач каждого веб-мастера. Если не удастся вовремя заметить проблему, последствия могут быть разрушительными. Поисковые системы ставят во главу угла пользовательский опыт и безжалостны к сайтам с вредоносным содержимым.
Проверить безопасность страницы или всего ресурса можно с помощью онлайн-сканеров, но ни один из них не гарантирует 100% точность. Иногда алгоритмы Google находят проблему, даже когда сервисы молчат. В таких случаях необходимо использовать как можно больше специализированных инструментов.
1. Что такое инструмент проверки безопасности веб-сайтов?
Инструмент проверки безопасности сайтов — это программное решение для обнаружения вирусов и вредоносных скриптов. Оно поставляется в разных форматах: десктопный софт, онлайн-сканеры, серверные утилиты. В любом случае веб-мастер может получить актуальную информацию о состоянии проекта.
Вредоносное ПО может привести к санкциям со стороны поисковых систем. Обычно Google очень быстро находит даже минимальные угрозы для пользователей и предпринимает меры предосторожности. Поэтому в интересах веб-мастера как можно быстрее разобраться с проблемой.
В основе любого инструмента для проверки безопасности контента лежит комплексный алгоритм анализа содержимого.
Некоторые сервисы проверяют наличие домена в черном списке антивирусов. Но этого недостаточно, чтобы убедиться в легальности проекта.
Лучший инструмент проверки безопасности должен:
- учитывать данные антивирусных баз;
- проверять наличие сайта в списке Google Safe Browsing;
- иметь собственные алгоритмы проверки содержимого;
- сканировать все страницы;
- давать советы по улучшению защиты проекта.
В выдаче поисковых систем можно найти много онлайн-сервисов, но ни один из них не идеален. Точно узнать, безопасен ли этот сайт, можно только при наличии доступа к файлам проекта.
1.1. Что такое Google Safe Browsing?
Google Safe Browsing — интеллектуальная система защиты, которая оберегает миллиарды устройств со всего мира. Ее запустили в 2007 году, и с тех пор она является неотъемлемой частью безопасного использования поисковой системы.
GSB не нужно устанавливать в качестве плагина или софта на компьютер.
Технология встроена в браузеры Chrome, Firefox и Safari. Когда сайт попадает в черный список Google Safe Browsing, пользователи видят вместо страницы ресурса предупреждение об опасности.
Инструмент создали, чтобы защитить пользователей от потери персональных данных и блокировки ресурсов с вредоносным содержимым. Чаще всего он успешно распознает угрозу и защищает личные данные пользователей.
В некоторых случаях алгоритмы GSB ошибочно заносят сайты в базу. Веб-мастера иногда пишут об этом на форумах и пытаются решить проблему. Но в глобальном масштабе система работает почти безупречно.
2. Важность проверки безопасности сайтов
Некоторые владельцы сайтов совсем не уделяют внимания построению защиты ресурса. Они периодически производят проверку легальности сайта, и на этом работа заканчивается. Очевидно, что такой подход не поможет уберечься от проблем.
Если на сайте будет вредоносный код, Google Safe Browsing его найдет. Тогда проект потеряет трафик, позиции и доверие постоянной аудитории.
Большинство пользователей закроют вкладку после того, как увидят предупреждение об опасности.
Цифры посещаемости и позиции в органической выдаче могут длительное время не восстанавливаться даже после удаления вирусов. Поэтому лучше максимально защитить ресурс, а не тратить время на борьбу с последствиями.
Установка файервола, профилактика методов защиты, мониторинг состояния файлов, трекинг содержимого страниц и другие меры помогают держать ситуацию под контролем. Проверить ресурс с помощью сканеров можно через несколько минут, но это лишь маленький шаг на длинном пути.
Взлом сайта может привести к:
- попаданию в черный список антивирусов;
- потере позиций на длительное время;
- уменьшению доли активной аудитории;
- хищению личных данных пользователей.
Следует помнить, что любые проблемы играют на руку конкурентам. Они получат дополнительный трафик, и даже после удаления вирусов сайт может не вернуться на предыдущие позиции.
Владельцам сайтов следует не просто следить за тем, безопасен ли сайт на текущий момент с помощью Google Safe Browsing, а приложить максимум усилий для защиты пользователей и их данных.
3. Как работает инструмент?
Каждый инструмент проверки легальности сайта или конкретной страницы имеет собственные алгоритмы. Большинство из них использует публичные данные, которые можно найти в Google Transparency Report, базах антивирусов и других источниках.
Некоторые онлайн-сканеры имеют свои скрипты для установки на сервер. Такой вариант более выгоден, потому что даже самый мощный анализатор может ошибаться, а доступ к исходному коду позволяет полностью проанализировать структуру проекта.
Если сервис выполняет только аудит SSL-сертификата, толку от этого будет мало. Инструмент может использоваться для релевантной задачи, но безопасность содержимого зависит не только от защищенности протокола передачи данных.
3.1. Проверка сайта на вредоносные скрипты и вирусы
Анализ профиля ресурса на наличие вирусов и вредоносных скриптов — обязательная задача для каждого веб-мастера.
Чем чаще выполняется эта операция, тем лучше. Но нужно принять дополнительные меры по защите проекта.
Объем негативных последствий от вредных скриптов может быть разным. К примеру, мобильные редиректы перенаправляют владельцев смартфонов на WAP-подписки. Сайты с такой проблемой Google блокирует с помощью Safe Browsing.
На 100% защититься от вирусов на сервере нереально. Но можно значительно снизить риск инфицирования проекта. Для этого необходимо установить специальное программное обеспечение, которое мониторит состояние файлов и посылает предупреждения о возможных угрозах.
3.2. Проверка наличия сайта в черном списке
Некоторые веб-мастера думают, что существуют только черные списки антивирусов, но это не так. Есть еще базы спам-доменов и специализированные ресурсы, которые собирают ссылки на проекты с вредоносным содержимым.
Для проверки наличия сайта в блеклистах лучше использовать инструменты, умеющие делать комплексный анализ. К примеру, SSL Trust использует глубокую проверку информации — более 90 разных тестов.
Наличие сайта в одном черном списке необязательно подтверждает наличие проблем. Но если ресурс находится в 3–5 базах разных сканеров, то необходимо провести детальный анализ.
3.3. Выявление проблем с безопасностью
Хорошим дополнением к сканированию публичных баз вредоносных сайтов является выявление проблем с безопасностью. Среди них может быть открытый доступ к административной панели, загрузка файлов без авторизации и другие пробелы в алгоритмах защиты.
Иногда даже опытные веб-мастера допускают ошибки и забывают о базовых мерах безопасности. К примеру, WordPress часто взламывают из-за загрузки файлов с расширениями, которые должны быть под запретом.
3.4. Определение устаревшего программного обеспечения и плагинов
Периодически в плагинах и популярных библиотеках находят уязвимости. С помощью них злоумышленники получают доступ к административной панели и используют ресурс для выполнения своих задач.
Если чекер мошеннических сайтов может обнаружить устаревшую версию JQuery или вредоносные плагины, это круто.
Но, к сожалению, такие возможности имеют незначительное количество инструментов.
3.5. Проверка SSL
В 2023 г. любой сайт по умолчанию должен работать на базе защищенного HTTPS-протокола. Это уже не рекомендация, а нужный атрибут для обычного ранжирования в поисковой выдаче.
Сертификаты SSL могут работать некорректно. Эта проблема приводит к негативным последствиям с разным уровнем опасности. К примеру, в Chrome может появиться уведомление, что посещать сайт не рекомендуется из-за отсутствия защищенного соединения.
Идеальных инструментов проверки безопасности ресурсов не существует. Получить оценку технического состояния проекта можно только с помощью комплексной проверки. Даже Google Safe Browsing периодически ошибается, поэтому лучше не рассчитывать на какой-то конкретный чекер.
4. Как проверить безопасность веб-сайтов?
Задача по проверке легальности сайта возникает у веб-мастеров. Обычные пользователи, увидев на странице уведомления об опасности, просто возвращаются к выдаче, чтобы найти нужную информацию на другой странице.
Если речь идет об одноразовой проверке безопасности, можно использовать любой онлайн-чекер. Но лучше установить на сервер хостинга специализированные скрипты для усиления защиты файлов типа Bitdefender.
Система охраны сайта должна быть многослойной, потому что хакеры могут найти уязвимые места в любом компоненте проекта. Например, часто взлом происходит из-за несвоевременного обновления плагинов для CMS.
Проверить безопасность сайта можно с помощью следующих сервисов:
- Google Transparency Report;
- QUTTERA;
- Sitechecker;
- Virustotal;
- Avast.
Также следует помнить, что проверка безопасности сайта должна включать анализ SSL-сертификата. Когда сканер дает зеленый свет, проблем с установлением защищенного соединения нет, но гарантий безопасной передачи данных тоже.
Если веб-мастер с помощью чекера обнаружил проблемные места или вредоносные скрипты, нужно быстро с ними разобраться. В противном случае поисковики могут заметить проблему раньше и наложить соответствующие санкции.
5. Факторы, которые помогут распознать взломанный веб-сайт
Распознать взломанный сайт бывает сложно, потому что иногда вредоносное содержимое активируется только на определенных устройствах. К примеру, хакеры часто настраивают мобильные редиректы, которые срабатывают на устройствах с 4G-интернетом.
В большинстве случаев выявить проблемы с безопасностью можно по совокупности факторов. Для этого достаточно использовать 2–3 популярных сервиса и просмотреть их отчет. Если на сайте есть критические проблемы с безопасностью, они будут заметны.
Сигналы, свидетельствующие о том, что сайт взломали:
- наличие домена в черных списках;
- при открытии страницы выполняется редирект на незнакомый ресурс;
- большое количество посторонней рекламы;
- уведомление о необходимости обновления программного обеспечения устройства;
- в индексе поисковых систем появились страницы на другом языке.
Существуют также другие маркеры, но в любом случае обстоятельства индивидуальны.
Перед посещением страницы необязательно проверять безопасность сайта, так как современные браузеры делают это по умолчанию.
Владельцам сайтов, которые столкнулись с вирусами и последствиями их действия, иногда лучше обратиться за помощью к компаниям и частным специалистам. Особенно это актуально, если проект монетизируется с помощью крупных рекламных сетей типа Adsense.
6. Советы по обеспечению безопасности сайта
Защитить сайт от хакеров и недоброжелателей можно только с помощью комплексного подхода. Если не учесть все уязвимые места, мошенники найдут способ извлечь пользу для себя.
Принять меры по усилению безопасности проекта лучше на старте его развития. Чем больше удастся получить аудитории со временем, тем привлекательнее он будет для охотников за легкими деньгами.
В интернете много инструкций по защите сайтов, но стоит учитывать, что результат сильно зависит от CMS. К примеру, WordPress входит в число самых популярных систем администрирования контента, но она очень уязвима.
Именно поэтому пользуются спросом системы защиты на уровне сервера. Они интегрируются в файловую систему и следят за обновлением файлов. Если сканер найдет вредоносный код, владелец проекта получит уведомление.
6.1. Включите HTTPS
Без корректно работающего SSL-сертификата будет сложно пройти проверку надежности сайта. Этот компонент важен для пользователей и алгоритмов поисковых систем. Если есть расчет на органический трафик, лучше уделить время настройке защищенного соединения.
Веб-мастерам-новичкам может быть сложно сделать выбор из большого количества различных видов сертификатов, но для базовых задач достаточно бесплатного Let’s Encrypt. Его автоматическая установка реализована в большинстве хостинг-провайдеров.
Стабильность работы сертификата можно проверить с помощью сканеров. Также необходимо учитывать, что на некоторых страницах могут возникать проблемы со смешанным содержимым. Убедиться в их отсутствии помогает софт для массового сканирования страниц типа Netpeak Spider.
Наличие защищенного протокола также важно для наращивания ссылочного веса. Владельцы сайтов вряд ли согласятся разместить ссылку на сайт, который в 2023 году работает на HTTP.
В базе PRPosting более 44 000 площадок, и подавляющее большинство из них использует SSL-сертификат разных уровней. В личном кабинете сервиса можно быстро создать список потенциальных доноров и обсудить детали сделки.
6.2. Выключите или удалите ненужные плагины
Своевременное обновление плагинов иногда может сохранить репутацию проекта. Если просмотреть новости о масштабных взломах сайтов, то в большинстве случаев хакеры используют уязвимые плагины.
Держать ситуацию под контролем можно с помощью серверных анализаторов, извещающих о наличии проблем, даже когда в медиа еще нет новостей об атаках на ресурсы.
Некоторые сканеры при проверке легальности сайта находят устаревшую версию JQuery, но этого недостаточно, чтобы убедиться в защищенности ресурса на постоянной основе.
Потребуется инструмент для регулярного мониторинга.
6.3. Создавайте резервную копию файлов данных
Резервные копии файлов лучше создавать ежедневно. Большинство хостинг-провайдеров предоставляют такую функцию бесплатно, но нужно дополнительно хранить бэкапы в облачных хранилищах.
Также не следует забывать о создании резервных копий баз данных. Иногда хакеры добавляют вредоносный код не в файлы, а в таблицы MySQL. В этом случае сканеры могут быть бессильны.
С помощью бэкапов можно быстро вернуть сайт в состояние, когда он еще не был инфицирован. А дальше есть возможность проследить, какие именно файлы меняет хакер, и закрыть пробел в безопасности.
6.4. Генерируйте пароли в автоматическом режиме
Короткие пароли делают взлом сайта легкой прогулкой для злоумышленников. Чтобы усложнить им задачу, лучше использовать специализированные плагины для CMS или сервисы для генерации паролей. Вы можете выбрать любой инструмент из выдачи Google.
Для дополнительной защиты также следует установить двухфакторную аутентификацию.
Лучше всего для этого подходит Google Authenticator, требующий минимальных настроек.
6.5. Регулярно обновляйте программное обеспечение
Своевременное обновление плагинов, CMS и дополнительных скриптов — рутинная задача, которую нужно выполнять регулярно. Также стоит следить за новостями на ресурсах о безопасности конкретных CMS. Иногда именно в новых версиях приложений появляется вредоносный код.
Владельцы сайтов часто устанавливают посторонние компоненты без проверки их безопасности. Это может привести к катастрофическим последствиям, поэтому не стоит жалеть времени на дополнительный анализ.
7. Выводы
Не все веб-мастера знают, как проверить безопасность сайта, и это проблема. Чтобы рассчитывать на эффективное продвижение в поисковиках и доверие аудитории нужно постоянно следить за техническим состоянием ресурса.
Часто задаваемые вопросы
Что такое инструмент проверки безопасности сайта?
Это десктопные программы, онлайн-чекеры и серверные анализаторы, ищущие проблемы с безопасностью.
Они распознают угрозы, находят вирусы и проверяют наличие сайта в черных списках разных сервисов.
Зачем проверять безопасность сайта?
Чтобы защититься от санкций поисковиков и сохранить доверие аудитории. Пользователи не желают взаимодействовать с опасными ресурсами, а поисковики блокируют их.
Как работает проверка легальности сайта?
Большинство сервисов используют публичные базы данных типа списков антивирусов. Некоторые аналитические платформы осуществляют комплексный анализ с помощью собственных алгоритмов.
Проверка безопасности веб-сайта | ImmuniWeb
ImmuniWeb Community Edition — Тест безопасности веб-сайта
Тест безопасности веб-сайта — это бесплатный онлайн-инструмент для проведения тестов веб-безопасности и конфиденциальности:
- Ненавязчивая проверка соответствия GDPR, связанная с безопасностью веб-приложений.
- Ненавязчивая проверка соответствия стандарту PCI DSS, связанная с безопасностью веб-приложений.
- Анализ CMS и ее компонентов на наличие устаревших версий и общеизвестных уязвимостей.
- Анализ методов HTTP, которые могут подвергнуть риску веб-сервер, веб-приложение или посетителей веб-сайта.
- Подробный анализ (синтаксис, достоверность, надежность) заголовков безопасности HTTP:
- Сервер
- Строгая безопасность транспорта (также известная как HSTS)
- X-Frame-Options
- X-Powered-By 9 0007 Х- Content-Type-Options
- X-XSS-Protection
- X-AspNet-Version
- Content-Security-Policy (также известный как CSP)
- Access-Control-Allow-Origin
- Content-Security-Policy-Report-Only
- Referrer-Policy
- Permissions-Policy
Справочники и инструкции
Заголовки HTTP
- Проект безопасных заголовков OWASP
Методы HTTP
- Тестирование методов HTTP OWASP 900 41
- HttpOnly cookies Руководство OWASP
- Secure Cookie Attribute
- То же -Атрибут файлов cookie сайта RFC
- Префиксы файлов cookie RFC
- Как получить A+ с помощью теста безопасности веб-сайта
- Alex H.
- Anik, Store Republic
- Doug Nelson
- Freddie Leeman
- Gunnar Schwant
- Ибтихадж Хуррам
- Джозеф Гуай, Korem Geospatial
- Kelley Hugh, Sompo International
- 192.175.111.224/27
- 64.15.129.96/27 900 08
- 70.38.27.240/28
- 72.55.136.144/28
- 72.55.136.192/28
- 108.163.142.208/28
- 209.172.38.160/27 900 08
Cookies
Практические рекомендации
Благодарности
Следующие эксперты по безопасности помогли нам улучшить этот бесплатный продукт:
Диапазоны IP-адресов
Диапазоны IP-адресов наших исходящих серверов:
| Политика разрешений | Описание Заголовок присутствует и действителен | +15 | +15 |
Описание Заголовок присутствует и неправильно настроен | — 10 | -10 | |
| Expect-CT | Описание Заголовок настроен неправильно | -20 | |
| Access-Control-Allow -Происхождение | Описание Заголовок присутствует и действителен | +5 | +5 |
| Строгая транспортная безопасность | Описание Заголовок присутствует, действителен и применяется | 0 | +2 5 |
| Strict-Transport-Security | Описание Заголовок отсутствует | 0 | -20 |
| Strict-Transport-Security 90 135 | Описание Срок действия заголовка менее 6 месяцев | 0 | -10 |
| Strict-Transport-Security | Описание Сертификат сервера не является доверенным | 0 | -1 | 9 0146
| X-Frame-опции | Описание Заголовок присутствует и действителен | +15 | +15 |
| X-Frame-Options | Описание Значение заголовка ALLOWALL | -10 | -10 |
| X-XSS-Protection | Описание Заголовок присутствует и действителен | +20 | +20 |
| X-XSS- Защита | Описание Значение заголовка равно 0 (отключено) | -10 | -10 |
| Защита X-XSS | Описание Головка отсутствует | -10 | -10 |
| X -Content-Type-Options | Описание Заголовок присутствует и действителен | +15 | +15 |
| X-Content-Type-Options | Описание Заголовок отсутствует | -10 | -10 |
| Content-Security-Policy | Описание Заголовок присутствует | +2 0 | +20 |
| Content-Security-Policy | Описание Заголовок отсутствует | -20 | -20 |
| Content-Security-Policy | Описание Для заголовка по умолчанию задано значение ‘none ‘ или ‘я’ | +5 | +5 |
| Content-Security-Policy | Описание Заголовок содержит подстановочный знак в директиве default-src | -10 | |
| Политика безопасности содержимого | Описание Заголовок содержит подстановочный знак в любой другой директиве Заголовок имеет набор директив предков кадров и ограничивает источники и X-Frame -Заголовок опций не установлен | +10 | +10 |
| Content-Security-Policy | Описание Заголовок содержит директиву предков кадров с подстановочным знаком и заголовком X-Frame-Options не задан | +5 | +5 |
| Content-Security-Policy | Описание Заголовок содержит набор директив предков кадров и соответствует значению заголовка X-Frame-Options | +5 | +5 |
| Content-Security-Policy | Описание Заголовок имеет набор директив предков фреймов и не соответствует значению заголовка X-Frame-Options | -5 | -5 |
| Политика безопасности контента | Описание Заголовок включает блокировку XSS, а заголовок X-XSS-Protection не установлен 136 Описание Заголовок включает фильтрацию XSS, а заголовок X-XSS-Protection не установлен 05 Заголовок содержит директиву Reflect-xss, установленную и непротиворечивую. |
Ваш комментарий будет первым