Дорогие друзья, проект Find-XSS.net предлагает Вашему вниманию 4 утилиты для нахождения уязвимостей, а также сканер PHP кода на наличие XSS, SQL injection и некоторых других видов уязвимостей.
Перед Вами список этих утилит:
- Find-Date - поиск шеллов, залитых на сайт злоумышленником.
- Find-Port - проверка открытых портов.
- Find-Info - утилита для проверки прав на папки и файлы.
- Find-Error - массовая проверка файлов на синтаксические ошибки.
Каждая из представленных в списке утилит вносит свой пусть и небольшой, но очень важный вклад в обнаружение ошибок и уязвимостей на Вашем проекте, поэтому мы искренне рекомендуем Вам воспользоваться каждой из них. Отметим, что все они крайне просты в использовании и не требуют от пользователей больших временных затрат или наличия особых знаний.
При использовании утилиты Find-Date, предназначенной для поиска шеллов, обратите внимание на время создания файлов - дата создания файла шелла будет отличаться от остальных дат.
Утилита Find-Port покажет открытые порты на Вашем сервере и поможет разобраться с их предназначением - если какой-нибудь порт будет открыт, а его предназначение покажется Вам сомнительным, то Вы сможете закрыть его.
Лишние права на файлы (особенно, лишние права на запись) могут стать причиной размещения в них вредоносного кода - с этим Вам поможет разобраться утилита Find-Info.
А проверку на синтаксические ошибки, которые способны запросто обрушить Ваш сайт, можно произвести при помощи утилиты Find-Error.
Однако именно XSS и SQL injection сканер является главным из всех предлагаемых нами инструментов и сервисов. По сравнению с многими другими сканерами уязвимостей, доступными в интернете, наш продукт отличается повышенной точностью результатов и крайней простотой в использовании. Возможно, некоторые пользователи усомнятся в его высокой эффективности. Отчасти такие пользователи будут правы, но следует обязательно отметить тот факт, что вплоть до настоящего момента не было создано абсолютно идеального варианта сканера и все представленные в интернете варианты сканеров так или иначе пропускают некоторые уязвимости. В связи со всем вышесказанным мы рекомендуем Вам использовать комплексные решения.
Проверка сайта нашим сканером занимает всего несколько секунд, не считая времени на загрузку проекта, и напрямую зависит от скорости Вашего интернет-соединения. Данные тестов, проведенных на различных модулях и плагинах для опенсорсных CMS, показали, что 9 из 10 найденных сканером уязвимостей, разработанным специалистами Find-XSS.net, реальны и представляют собой существенную угрозу. Данный показатель в разы превосходит аналогичные показатели других современных сканеров кода. Тем не менее, следует помнить о правильном использовании сканера. Так, если Вы хотите проверить какой-нибудь конкретный плагин для CMS и загружаете для проверки только этот плагин, то результат проверки будет содержать ошибочные данные. Мы уже не раз писали об этом, но все-таки повторим еще раз: сканер не просто проверяет код с начала до конца, строка за строкой - он в первую очередь определяет параметры, получаемые и возвращаемые функциями, большая часть которых описана не в плагине, а в самой CMS. Лишь после определения параметров он приступает к анализу всего кода. Именно поэтому результаты проверки только одного загруженного плагина могут быть неверны.
Помните, для обеспечения безопасности хороши все средства. Особенно, если эти средства не трудоемки, но в то же время максимально эффективны. Именно такие инструменты и сервисы мы и предлагаем Вам.
С уважением, команда разработчиков Find-XSS.net.