Обзор онлайн-сканера уязвимостей QualysGuard

qualys-horizontal-580

Qualys Guard — продукт компании Qualys, специализирующейся на разработке инструментов тестирования на уязвимости веб приложений и соответствия политикам безопасности (н-р, PCI Compliance).

Как часто водится, есть две версии продуктов — бесплатная с ограниченным функционалом (Qualys Free Scan) и Enterprise. Будем изучать бесплатную версию.

Итак, это онлайн-сканер и это очень удобно, нам не нужно ничего настраивать и выделять ресурсы. Из минусов — не можем протестировать интранет и сайты с «чувствительной» информацией бесплатному продукту скармливать боязно.

Что может предложить бесплатный сканер? Как заявляют разработчики:

  1. Scan computers and apps on the Internet or in your network.
  2. Detect security vulnerabilities and the patches needed to fix them.
  3. View interactive scan reports by threat or by patch.
  4. Test websites & apps for OWASP Top Risks and malware.
  5. Test computers against SCAP security benchmarks.

ОК, уговорили. Идём на сайт сканера по ссылке выше, регистрируемся (кстати говоря, вы знали что можно использовать временные e-mail для «одноразовых/анонимных регистраций»?). Сразу после регистрации сайт предлагает нам воспользоваться следующими инструментами:
Qualys_Tools_ListВ принципе, всё из этого списка подойдёт чтобы прогнать на тестируемом сайте. Но если нет времени и желания разбираться с кучей информации, можно ограничиться только инструментом Website Audit. Описание каждого из инструментов:

  • BrowserCheck — Как следует из названия, инструмент тестирует браузер, под которым вы зашли, а также его плагины и критичные обновления ОС, на наличие устаревшего и отсутствие патчей безопасности.
  • Website Audit — Проверка сайта на наличие уязвимостей (из списков известных багов в софте CVE и наиболее распространённых багов безопасности OWASP Top 10). Пожалуй, самый нужный инструмент
  • Patch Tuesday — Несколько повторяет функционал BrowserCheck, но кроме того смотрит обновлены ли версии критичного софта на компьютере (н-р, Java).
  • OWASP/SCAP Audit — Проверка сайта на соответствие параметрам безопасности определённых этими организациями
  • SSL Secure Website Test — Смотрит, правильно ли сконфигурирован протокол SSL для сайта (т.е. если используется https:// в начале адреса). Эта проверка уже входит в инструмент Website Audit.

В целом, пользоваться инструментом Website Audit довольно просто: вводим URL сайта который мы хотим протестировать, жмём Scan и дожидаемся результатов, которые будут предоставлены в виде довольно подробного HTML отчёта:

Qualys_Webscan_Report_1_580px

Qualys_Webscan_Report_2_580px

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.