Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Проверка прозрачности сайта

Инструмент утверждает, что ваш ввод «остаётся в браузере» — так ли это? Укажите URL, чтобы с помощью статического анализа выявить, куда страница могла бы отправлять данные: внешние источники, трекеры и формы. Это подсказки, а не вердикт.

Сервер этого сайта один раз запрашивает целевой URL и анализирует его статически (отправляется только введённый вами URL — не ваш код и не ваш ввод). Доступ к внутренним / приватным адресам заблокирован.
Попробовать пример (проанализировать сам этот сайт)

Как проверить наверняка (DevTools)

  1. 1Откройте страницу, затем откройте DevTools клавишей F12 (или правый клик → Инспектировать).
  2. 2Откройте вкладку «Network» и убедитесь, что идёт запись.
  3. 3Реально воспользуйтесь инструментом и следите, уходят ли новые запросы (Fetch/XHR/WS) на внешние домены.
  4. 4Если внешних отправок нет, страница работает в браузере для этого действия.

SSRF

Как пользоваться

  1. 1

    Вставьте URL инструмента, который заявляет, что работает только в браузере.

  2. 2

    Он статически анализирует внешние адресаты, трекеры, внешние формы и код отправки на этой странице.

  3. 3

    Результаты — это подсказки. Окончательную проверку сделайте во вкладке Network в DevTools (ниже).

Почему это важно

Действительно ли «приватный» инструмент приватен, нельзя полностью доказать снаружи (браузерный CORS скрывает поведение других сайтов во время выполнения, а статический анализ не может показать отсутствие отправки). Поэтому этот инструмент не выносит вердикт — он выявляет, куда могли бы течь данные, и даёт вам настоящий способ проверки (DevTools). Этот сайт не исключение: проанализируйте его — и увидите теги рекламы/аналитики; не скрывать это — честный подход.

Частые вопросы

QОзначает ли «ноль внешних адресатов», что это безопасно?
A

Нет. Статический анализ пропускает обфусцированные, динамические или отправки по клику. Ноль означает «статически не найдено», а не доказательство. Надёжная проверка — вкладка Network в DevTools.

QПочему это нельзя сделать только в браузере (без сервера)?
A

Браузерный CORS не даёт странице наблюдать запросы другого источника во время выполнения, поэтому целевой URL загружается и анализируется на стороне сервера (отправляется только URL).

QМожно ли проверять чужой сайт?
A

Инструмент один раз загружает целевую страницу и анализирует её статически — без активного сканирования или атак (тот же объём, что и при обычном открытии в браузере). Внутренние/приватные адреса заблокированы.

Похожие страницы