Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Комплексный аудит безопасности сайта

Полный аудит вашего собственного (с подтверждённым владением) сайта: раскрытие секретов (.env/.git/дампы БД), TLS-сертификат, HTTP-заголовки безопасности, слабости CSP и ошибки CORS, флаги cookie, почтовая аутентификация (SPF/DKIM/DMARC) и CAA — плюс сопоставление раскрытых продуктов с нашим каталогом CISA KEV (активно эксплуатируемых). Один отчёт с оценкой, исправлениями и промптом для ИИ.

Сервер этого сайта пассивно загружает целевой сайт (без атак и разведочного сканирования). В целях безопасности вы можете проверить только домен, владение которым вы подтвердили. Внутренние/приватные адреса заблокированы.
Попробовать пример (проверить сам этот сайт, itdef.net)

Как пользоваться

  1. 1

    Введите домен своего собственного сайта

    например, example.com. Вы не можете проверять чужой сайт — требуется подтверждение владения.

  2. 2

    Подтвердите владение (любым из трёх способов)

    Разместите показанный токен через ①мета-тег (самый простой — просто вставьте в <head> главной страницы), ②DNS-запись TXT или ③файл (скачивание в один клик → положите в /.well-known/). Аудит не начнётся, пока владение не подтверждено.

  3. 3

    Нажмите «Подтвердить владение и проверить» для полной проверки

    Проверяются раскрытие секретов (.env/.git/дампы БД), TLS-сертификат, заголовки, CSP/CORS, cookie, почтовая аутентификация и сопоставление с KEV (активно эксплуатируемые CVE), и показывается общая оценка от A до F.

  4. 4

    Исправляйте от красного к жёлтому

    У каждого пункта показано, чем он опасен и как его исправить. Включён готовый промпт для ИИ — вставьте его в ChatGPT / Claude, чтобы получить шаги под ваш стек.

  5. 5

    (Необязательно) подпишитесь на бесплатный мониторинг

    Укажите почту, чтобы получать уведомления только при ухудшении состояния. Он не начнётся, пока вы не нажмёте ссылку подтверждения, и отписаться можно в любой момент.

Почему это важно

Первое, что ищет этот инструмент, — случайно публичный .env, .git или дамп БД, оставленный в каталоге, доступном из веба, — именно та авария, с которой начался этот сайт. Сверх того он объединяет TLS-сертификат, заголовки, флаги cookie, почтовую аутентификацию и раскрытие версии в один «осмотр» вашего собственного сайта с подтверждённым владением. Подтверждение владения обязательно, чтобы это никогда не стало «инструментом атаки», нацеленным на других.

Частые вопросы

QПочему требуется подтверждение владения?
A

Проверка того, публичны ли конфиденциальные файлы, могла бы быть разведкой, если нацелена на чужой сайт. Мы проводим аудит только после того, как вы доказали, что домен ваш (DNS TXT или файл), что структурно исключает стороннее сканирование.

QСильно ли аудит нагружает мой сайт?
A

Нет. Он пассивно загружает небольшой фиксированный набор путей по одному разу — без фаззинга, без атак. Нагрузка примерно как от открытия нескольких страниц в браузере.

QЕсли оценка высокая, я полностью в безопасности?
A

Нет. Он проверяет представительные пункты с высоким сигналом, а не каждый возможный риск. Не переоценивайте зелёный результат; сочетайте его с минимизацией раскрытия/привилегий и постоянными проверками зависимостей (сканер OSV), заголовков и почтовой аутентификации.

Похожие страницы