Безопасность и Мониторинг

Уважаемые пользователи Find-XSS.net, предлагаем вашему вниманию абсолютно бесплатную версию XSS-сканера. Небольшое лирическое отступление - практика показала, что несмотря на тот факт, что каждая из найденных нашим сканером уязвимостей (а общее количество обнаруженных им уязвимостей уже превысило несколько десятков тысяч) позволила сэкономить владельцам потенциально предрасположенных ко взлому сайтов колоссальные суммы, лишь немногие из пользователей согласились оплатить полный отчет сканирования. Хотя мы и считаем это крайне несправедливым по отношению к нашему сервису, но в то же время прекрасно понимаем, что таков менталитет интернет-пользователя, еще не успевшего привыкнуть к платным услугам в сети. Тем не менее, нам тоже нужно платить за сервера, поэтому не обессудьте, если мы пойдем на вынужденные меры и уже совсем скоро Вам придется, образно говоря, продираться к отчету сканирования через густые джунгли назойливой рекламы.

Уважаемые пользователи Find-XSS.net, сегодня мы расскажем Вам об основных способах защиты сайта от XSS и SQL injection. Не секрет, что именно этот вопрос наиболее сильно интересует посетителей нашего ресурса. Отметим, главное - обнаружить имеющиеся на сайте уязвимости, все остальное не представляет особой сложности. Фактически речь сейчас пойдет о нескольких функциях, которые экранируют параметры, полученные от пользователя, таким образом, что данные параметры становятся абсолютно безопасны. 

Дорогие друзья, в этой статье мы постараемся не только ответить на крайне непростой вопрос "как получается так, что хакеры взламывают сайты?", но также и предложить свое решение этой весьма серьезной проблемы. Действительно, как же так получается, что коварные взломщики получают доступ к чужим сайтам? Бесспорно, не самую последнюю роль в этом играет постоянное совершенствование технологий взлома, но, тем не менее, не стоит забывать и про другую, не менее важную причину. 
Какую именно? - спросите Вы. 
Вышеупомянутая причина кроется в излишней самоуверенности некоторых программистов, считающих, что они никогда не допускают ошибки при программировании, отсутствии знаний о существовании уязвимостей и их опасности, а также и элементарной лени и нежелании исправлять недочеты в выполненной работе. Да, именно так - немалая часть вины за взлом сайтов зачастую лежит именно на разработчиках сайтов.

Дорогие друзья, сегодня у нас есть для Вас две важные новости. Первая новость связана с обновленной версией XSS-сканера, а вторая - с переходом сервиса на платный режим. Начнем, пожалуй, со второй новости.
 
Переход сервиса на платный режим подразумевает под собой следующее. Пользователь по-прежнему имеет доступ к бесплатной демо-версии сканера, позволяющей получить общий отчет проверки, содержащий данные о количестве обнаруженных Errors (XSS и SQL Injection), а также количестве Warnings (начиная с версии 0.4.0 к Warnings нужно относиться с особым вниманием, как и к Errors). Более того, в общем отчете будут присутствовать 2 строки полного отчета. Отметим, что размер ZIP-архива, загружаемого в сканер для проверки, остался прежним - до 10мб.

важаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию сканера и предлагаем Вам ознакомиться с списком улучшений, произошедших в ней. В частности, изменению подверглись как ядро сканера, так и сама концепция предоставления услуги.
 
Давайте ознакомимся с изменениями, произошедшими в ядре сканера.
 
- Вывод отчетов сканирования стал более информативным.
 
- В сканер был внесен функционал отслеживания массивов при передаче в них экранированных параметров. До этого отслеживались только переменные и имена массивов (без привязки к индексам).
 
- Улучшен алгоритм отслеживания параметров в if блоках.
 
- Добавлено отслеживание индексов массивов, заданных константой, что значительно улучшило результаты сканирования.

Уважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.3.1-0.3.3) XSS-сканера. Если в версиях 0.3.1 - 0.3.2 изменения произошли только в оптимизации ядра, то в новой версии было существенно обновлено само ядро сканера. Также данная версия характеризуется и другими не менее важными изменениями. Так, в отчете, получаемом пользователем после завершения сканирования, добавилось имя переменной, делающей код уязвимым. Это заметно помогает при отладке. Статусы Warning появляются в отчете сканирования на 90% реже - напомним, появление Warning связано с ситуациями, в которых сканер не только не смог отследить, но также и не смог классифицировать код как безопасный. Количество и релевантность найденных уязвимостей увеличились на 10-20%.

В самом начале этой истории мы бы хотели обратить Ваше внимание на тот факт, что в силу вполне понятных причин наш сканер пользуется огромной популярностью у владельцев сайтов, созданных на основе CMS с открытым кодом. А вот и сама история - некоторое время назад один из владельцев такого сайта воспользовался нашим сервисом и, обнаружив на своем проекте огромное количество уязвимостей, с определенной долей негодования написал об этом на форуме разработчика CMS. По всей логике разработчикам следовало бы провести соответствующую проверку и устранить эти уязвимости (а всего нашему сканеру удалось обнаружить 700 XSS-уязвимостей и SQL-инъекций) и поблагодарить своего клиента за то, что он вовремя поставил их в известность. Однако, вопреки здравому смыслу разработчики (имена мы называть не будем), даже не удосужившись проверить прав или неправ их клиент, пришли к интересному умозаключению, согласно которому, ни один из представленных в сети сканеров не способен обнаружить уязвимости в их CMS. В свою очередь мы не стали тратить свое время на форумные баталии и доказательство их неправоты. Тем не менее, нам искренне жаль и таких излишне самоуверенных разработчиков, и их доверчивых клиентов.

Дорогие друзья, представляем Вашему вниманию обновленную версию (0.3.0) XSS-сканера. В данной версии существенно усовершенствован алгоритм поиска уязвимостей. Также значительным изменениям подверглась логика вывода информации сканирования. Отметим, что из интерфейса сканера была убрана возможность определения критических для проверки функций. Мы сделали это по двум причинам: во-первых для упрощения подхода к поиску уязвимостей, а во-вторых, начиная с версии 0.3.0, такие функции будут отслеживаться автоматически.