Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Комплексный аудит безопасности сайта

Полный аудит вашего собственного (с подтверждённым владением) сайта: раскрытие секретов (.env/.git/дампы БД), TLS-сертификат, HTTP-заголовки безопасности, слабости CSP и ошибки CORS, флаги cookie, почтовая аутентификация (SPF/DKIM/DMARC) и CAA — плюс сопоставление раскрытых продуктов с нашим каталогом CISA KEV (активно эксплуатируемых). Один отчёт с оценкой, исправлениями и промптом для ИИ.

Сервер этого сайта пассивно загружает целевой сайт (без атак и разведочного сканирования). В целях безопасности вы можете проверить только домен, владение которым вы подтвердили. Внутренние/приватные адреса заблокированы.
Попробовать пример (проверить сам этот сайт, itdef.net)
B
Общая оценка
89 / 100
https://itdef.net/ja · Владение подтверждено через файл

Открытые конфиденциальные файлы

Ни один из 24 проверенных конфиденциальных путей/каталогов не был публично доступен.

TLS-сертификат

  • Сертификат действителен (осталось 68 дней).
    • Издатель: Let's Encrypt
    • Протокол: TLSv1.3
    • Набор шифров: TLS_AES_128_GCM_SHA256
    • Истекает: Sep 5 07:14:55 2026 GMT

    Транспорт (HTTPS)

    • Доступен по HTTPS.
    • http перенаправляется на HTTPS.
    • HSTS включён.

    Заголовки безопасности

    Оценка B (86/100). Отсутствующих/слабых пунктов: 1.

    Подробности в проверке заголовков безопасности

    Надёжность CSP (Content-Security-Policy)

    • 'unsafe-inline' (разрешает встроенный JS — сильно ослабляет защиту от XSS; перейдите на nonce/hash)
    Пересобрать в Конструкторе CSP

    CORS (совместное использование ресурсов между источниками)

    Опасного отражения источника CORS не замечено.

    Флаги безопасности cookie

    У каждого cookie есть Secure / HttpOnly / SameSite.

    Почтовая аутентификация (защита от подмены)

    • spf OK
    • dkim OK
    • dmarc Слабый
    Подробности в проверке SPF/DKIM/DMARC

    Раскрытие версии

    Заметных строк версии сервера/фреймворка не раскрыто.

    Нет CAA (необязательно, но CAA позволяет ограничить, какие УЦ могут выдавать сертификаты).
    Нет security.txt (необязательно, но контакт в /.well-known/security.txt полезен).

    Промпт для ИИ по устранению (скопировать и вставить)

    Вставьте в Claude / ChatGPT для конкретных исправлений под ваш стек.

    Ты эксперт по веб-безопасности. Аудит моего собственного сайта (itdef.net) выявил приведённые ниже проблемы. Только в защитных целях / для устранения расскажи, как безопасно исправить каждую из них в моём стеке (nginx / Apache / Caddy / облако и т. п.) с конкретными командами/конфигурацией. Спрашивай, если что-то неясно, и расскажи, как потом проверить исправления.

- Заголовки безопасности: content-security-policy
- Надёжность CSP (Content-Security-Policy): unsafe-inline
- Почтовая аутентификация (защита от подмены): DMARC weak

Примечание: сохрани работу существующего поведения. Техники атак или обхода не нужны.

    Следить за этим сайтом (бесплатно)

    Укажите свою почту, и мы будем периодически перепроверять этот сайт, присылая письмо только когда его состояние ухудшается (новое совпадение с KEV, снижение оценки или сертификат на грани истечения). Это начнётся только после того, как вы нажмёте ссылку подтверждения (защита от спама). Отписаться можно в любой момент.

    Как пользоваться

    1. 1

      Введите домен своего собственного сайта

      например, example.com. Вы не можете проверять чужой сайт — требуется подтверждение владения.

    2. 2

      Подтвердите владение (любым из трёх способов)

      Разместите показанный токен через ①мета-тег (самый простой — просто вставьте в <head> главной страницы), ②DNS-запись TXT или ③файл (скачивание в один клик → положите в /.well-known/). Аудит не начнётся, пока владение не подтверждено.

    3. 3

      Нажмите «Подтвердить владение и проверить» для полной проверки

      Проверяются раскрытие секретов (.env/.git/дампы БД), TLS-сертификат, заголовки, CSP/CORS, cookie, почтовая аутентификация и сопоставление с KEV (активно эксплуатируемые CVE), и показывается общая оценка от A до F.

    4. 4

      Исправляйте от красного к жёлтому

      У каждого пункта показано, чем он опасен и как его исправить. Включён готовый промпт для ИИ — вставьте его в ChatGPT / Claude, чтобы получить шаги под ваш стек.

    5. 5

      (Необязательно) подпишитесь на бесплатный мониторинг

      Укажите почту, чтобы получать уведомления только при ухудшении состояния. Он не начнётся, пока вы не нажмёте ссылку подтверждения, и отписаться можно в любой момент.

    Почему это важно

    Первое, что ищет этот инструмент, — случайно публичный .env, .git или дамп БД, оставленный в каталоге, доступном из веба, — именно та авария, с которой начался этот сайт. Сверх того он объединяет TLS-сертификат, заголовки, флаги cookie, почтовую аутентификацию и раскрытие версии в один «осмотр» вашего собственного сайта с подтверждённым владением. Подтверждение владения обязательно, чтобы это никогда не стало «инструментом атаки», нацеленным на других.

    Частые вопросы

    QПочему требуется подтверждение владения?
    A

    Проверка того, публичны ли конфиденциальные файлы, могла бы быть разведкой, если нацелена на чужой сайт. Мы проводим аудит только после того, как вы доказали, что домен ваш (DNS TXT или файл), что структурно исключает стороннее сканирование.

    QСильно ли аудит нагружает мой сайт?
    A

    Нет. Он пассивно загружает небольшой фиксированный набор путей по одному разу — без фаззинга, без атак. Нагрузка примерно как от открытия нескольких страниц в браузере.

    QЕсли оценка высокая, я полностью в безопасности?
    A

    Нет. Он проверяет представительные пункты с высоким сигналом, а не каждый возможный риск. Не переоценивайте зелёный результат; сочетайте его с минимизацией раскрытия/привилегий и постоянными проверками зависимостей (сканер OSV), заголовков и почтовой аутентификации.

    Похожие страницы