Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Проверка прозрачности сайта

Инструмент утверждает, что ваш ввод «остаётся в браузере» — так ли это? Укажите URL, чтобы с помощью статического анализа выявить, куда страница могла бы отправлять данные: внешние источники, трекеры и формы. Это подсказки, а не вердикт.

Сервер этого сайта один раз запрашивает целевой URL и анализирует его статически (отправляется только введённый вами URL — не ваш код и не ваш ввод). Доступ к внутренним / приватным адресам заблокирован.
Попробовать пример (проанализировать сам этот сайт)

Явных признаков того, что ваш ввод отправляется наружу, не найдено (нет внешней формы, нет неизвестного стороннего скрипта). Теги аналитики/рекламы ниже — это отслеживание, отдельный вопрос от передачи ввода. Для уверенности проверьте в DevTools.

Проанализировано: https://itdef.net/ja

Неизвестные сторонние скрипты (могут читать ввод)
нет
Формы, отправляющие наружу
нет
Теги аналитики / рекламы (отслеживание)
  • Google AdSense
  • Google Tag Manager
Источники внешних скриптов/ресурсов
  • pagead2.googlesyndication.com
  • www.googletagmanager.com

«Теги аналитики/рекламы» и «источники внешних ресурсов» в основном предназначены для отслеживания — это отдельная ось от того, отправляется ли наружу ВАШ ввод (их используют большинство сайтов).

Устанавливает cookie: да

⚠️ Статический анализ может показать, что страница МОГЛА БЫ отправить данные наружу, но не может доказать, что она этого не делает (обфускация, отправка по клику и т. п. пропускаются). Единственная надёжная проверка — вкладка DevTools → Network в вашем браузере, пока вы реально пользуетесь инструментом.

Как проверить наверняка (DevTools)

  1. 1Откройте страницу, затем откройте DevTools клавишей F12 (или правый клик → Инспектировать).
  2. 2Откройте вкладку «Network» и убедитесь, что идёт запись.
  3. 3Реально воспользуйтесь инструментом и следите, уходят ли новые запросы (Fetch/XHR/WS) на внешние домены.
  4. 4Если внешних отправок нет, страница работает в браузере для этого действия.

SSRF

Как пользоваться

  1. 1

    Вставьте URL инструмента, который заявляет, что работает только в браузере.

  2. 2

    Он статически анализирует внешние адресаты, трекеры, внешние формы и код отправки на этой странице.

  3. 3

    Результаты — это подсказки. Окончательную проверку сделайте во вкладке Network в DevTools (ниже).

Почему это важно

Действительно ли «приватный» инструмент приватен, нельзя полностью доказать снаружи (браузерный CORS скрывает поведение других сайтов во время выполнения, а статический анализ не может показать отсутствие отправки). Поэтому этот инструмент не выносит вердикт — он выявляет, куда могли бы течь данные, и даёт вам настоящий способ проверки (DevTools). Этот сайт не исключение: проанализируйте его — и увидите теги рекламы/аналитики; не скрывать это — честный подход.

Частые вопросы

QОзначает ли «ноль внешних адресатов», что это безопасно?
A

Нет. Статический анализ пропускает обфусцированные, динамические или отправки по клику. Ноль означает «статически не найдено», а не доказательство. Надёжная проверка — вкладка Network в DevTools.

QПочему это нельзя сделать только в браузере (без сервера)?
A

Браузерный CORS не даёт странице наблюдать запросы другого источника во время выполнения, поэтому целевой URL загружается и анализируется на стороне сервера (отправляется только URL).

QМожно ли проверять чужой сайт?
A

Инструмент один раз загружает целевую страницу и анализирует её статически — без активного сканирования или атак (тот же объём, что и при обычном открытии в браузере). Внутренние/приватные адреса заблокированы.

Похожие страницы