В самом начале этой истории мы бы хотели обратить Ваше внимание на тот факт, что в силу вполне понятных причин наш сканер пользуется огромной популярностью у владельцев сайтов, созданных на основе CMS с открытым кодом. А вот и сама история - некоторое время назад один из владельцев такого сайта воспользовался нашим сервисом и, обнаружив на своем проекте огромное количество уязвимостей, с определенной долей негодования написал об этом на форуме разработчика CMS. По всей логике разработчикам следовало бы провести соответствующую проверку и устранить эти уязвимости (а всего нашему сканеру удалось обнаружить 700 XSS-уязвимостей и SQL-инъекций) и поблагодарить своего клиента за то, что он вовремя поставил их в известность. Однако, вопреки здравому смыслу разработчики (имена мы называть не будем), даже не удосужившись проверить прав или неправ их клиент, пришли к интересному умозаключению, согласно которому, ни один из представленных в сети сканеров не способен обнаружить уязвимости в их CMS. В свою очередь мы не стали тратить свое время на форумные баталии и доказательство их неправоты. Тем не менее, нам искренне жаль и таких излишне самоуверенных разработчиков, и их доверчивых клиентов. Мы поделились с Вами этой поучительной историей исключительно для того, чтобы Вы проявили повышенную бдительность в отношении безопасности Вашего проекта. Не повторяйте ошибок тех, кто уже успел пострадать от действий злоумышленников - выполните проверку Вашего сайта при помощи нашего XSS-сканера, устраните обнаруженные уязвимости и не оставьте взломщикам ни единого шанса. Все еще сомневаетесь в целесообразности сканирования? Позвольте задать Вам вопрос - а что вы, собственно говоря, теряете? Сканирование сайта займет всего 2 минуты. Пусть еще одна минута уйдет у Вас на то, чтобы открыть файл с одной из найденных уязвимостей и убедиться: ошибся сканер или все-таки нет. Проверьте наш сканер в действии и убедитесь сами - уязвимости реальны и представляют собой существенную угрозу для безопасности Вашего проекта.
Обратим Ваше внимание на еще один интересный факт. Не так давно на одном из форумов некий пользователь высказал предположение, что при помощи сканера мы якобы пытаемся украсть код чужого сайта. Довольно странно, что перед тем, как делать подобные заявления, этот пользователь не удосужился задать себе очень простой вопрос - зачем нам надо было тратить столько сил на создание и развитие сервиса, чтобы в итоге при его помощи красть код бесплатно распространяемой CMS с открытым исходным кодом? Особенно забавно это выглядит в свете того, что в сети есть огромные залежи свободно распространяемого кода. Да и вообще, кому нужен код баз данных и контента? Посмотрите на статистику выполненных проверок и умножьте их общее количество на объемы кода - полученный результат не просмотреть даже и за 100 лет!
Уважаемые пользователи, мы гарантируем Вам, что все загруженные в XSS-сканер файлы автоматически удаляются сразу же после сканирования. Также напоминаем Вам о том, что сканер проверяет только PHP, HTML и JavaScript файлы, поэтому не надо загружать в него медиа-контент (видео, музыку или картинки) - это приведет лишь к пустой трате Вашего времени и трафика. Более того, мы убедительно просим Вас не загружать вместе с другими материалами для проверки файл конфигурации Вашего сайта, поскольку в нем обычно хранится пароль для подключения к базе данных. Бесспорно, даже если Вы по ошибке загрузите его, сканер никоим образом не отреагирует на это, а проведет проверку в штатном режиме, но все-таки сохраняйте бдительность - тем самым Вы сможете сохранить спокойствие и уверенность, а также поможете сохранить их и нам.
С уважением, команда разработчиков Find-XSS.net.
Статья