11 Июля, 2017

Как я свой сайт сканером PT BlackBox Scanner проверял

Алексей Комаров

Не так давно компания Позитив Текнолоджиз объявила о запуске бета-версии «бесплатного облачного сервиса PT BlackBox Scanner для выявления уязвимостей веб-приложений».

Не буду вдаваться в терминологические споры и рассуждать на тему того, является ли сайт сам по себе web-приложением, а просто поделюсь результатами сканирования своего собственного блога https://ZLONOV.ru

Вот они:

Результаты сканирования ZLONOV.ru сервисом PT BBS

Результаты сканирования ZLONOV.ru сервисом PT BBS

Первое, на что хотелось бы обратить внимание — это время сканирования: 98 часов 48 минут, что составляет примерно чуть более четырёх суток. Для бесплатного сервиса, полностью работающего автономно (не нужно держать открытой вкладку браузера и не перезагружать компьютер) совсем неплохие результаты. Проблема, пожалуй тут только в том, что в процессе сканирования время до завершения определяется не очень корректно. Например, у меня сохранился скриншот , на котором видно, что 10% сканирования заняли 53,3 часа, что наводило на мысль об общем времени сканирования в три недели (движки сайтов могут обновлять чаще!):

10% сканирования заняли 53,3 часа

10% сканирования заняли 53,3 часа

Но это всё мелкие придирки, в конце концов, процедура верификации сайтов (да, чтобы вот так сканировать сайт сначала надо подтвердить, что ты им действительно владеешь) тоже сначала не работала, но после моего обращения оперативно всё поправили.

Давайте взглянем на результаты сканирования — что же это за такая уязвимость с рейтингом «высокий» была обнаружена?

SQL-инъекция. Для удобства разместил запрос и ответ на одном скриншоте:

Критическая уязвимость

Критическая уязвимость

На самом деле, это всего лишь настроенная у моего хостинг-провайдера страница с ошибкой 500 (Внутренняя ошибка сервера). Так совпало, что в момент сканирования у провайдера был сбой (последнее время у него часто проблемы с DDoS-атаками) и ответ от сервера сканер PT BlackBox Scanner принял за успешную SQL-инъекцию . Думаю, это быстро поправят.

Результат сканирования, с одной стороны получился не очень впечатляющим, но с другой стороны — хорошо, что у сканера нет обилия ложных срабатываний, ведь по каждому случаю пришлось бы разбираться детально, а инструмент явно рассчитан на широкую и не очень квалифицированную (примерно, как я) публику =)

Что ещё могу отметить любопытного?

IP адрес, с которого производилось сканирование (185.102.122.145) принадлежит ЦОД компании КРОК — «IPs for CROC data center’s customers»:

IPs for CROC data center's customers

IPs for CROC data center’s customers

Ну, и ещё робот/сканер обнаруживает формы для заполнения и присылает вот такие тестовые запросы на обратную связь :

Робот просит связаться с ним

Робот просит связаться с ним

IP-адрес, как видно, тот же самый.

В целом, особенно с учётом бесплатности и простоты использования, мне PT BlackBox Scanner скорее понравился, чем наоборот. Ранее пробовал некоторые другие сканеры сайтов, которые и поставить было не так просто и результат они выдавали трудно перевариваемый (вот что может не особо подготовленный пользователь сделать с парой десятков предупреждений, если все обновления у него уже установлены, например?)

Обычно бета-версия помогает разработчику отловить баги и усовершенствовать свой продукт. А за хороший продукт потом не стыдно и денег попросить. Но, раз ещё не просят, значит, скорее всего, пока стесняются =)

comments powered by Disqus