Một trong những xu hướng thảo luận trong ngành CNTT hiện nay là Web Security. Bạn có biết 96% ứng dụng được kiểm thử đều có bug về an ninh và bảo mật.
Biểu đồ dưới đây cho thấy mức độ các loại bug về các lỗ hổng bảo mật được tìm thấy.
Chúng ta thường chú ý đến thiết kế trang web, SEO, nội dung và đánh giá thấp bảo mật. Thực tế bảo mật web có tầm quan trọng cao hơn bất cứ điều gì.
Trong bài viết này, mình sẽ liệt kê ra các công cụ miễn phí quét trang web để tìm lỗ hổng bảo mật, phần mềm độc hại.
1. Scan My Server
ScanMyServer cung cấp một report toàn diện nhất về các loại kiểm tra bảo mật như SQL Injection, Cross Site Scripting, PHP Code Injection, tiết lộ nguồn, HTTP Header Injection, Blind SQL Injection và nhiều hơn nữa.
Một bản tóm tắt các lỗ hổng chi tiết đầy đủ sẽ được thông báo qua email mà bạn đăng ký.
2. Sucuri
Sucuri là trình quét phần mềm độc hại và bảo mật trang web miễn phí phổ biến nhất. Bạn có thể thực hiện một bài kiểm tra nhanh về phần mềm độc hại, danh sách đen trang web, SPAM bằng sucuri.
Sucuri cũng dọn dẹp và bảo vệ trang web của bạn khỏi các mối đe dọa trực tuyến và hoạt động trên mọi nền tảng trang web bao gồm WordPress, Joomla, Magento, Drupal, phpBB, v.v.
3. Qualys SSL Labs, Qualys FreeScan
SSL Labs là một trong những công cụ được sử dụng nhiều nhất để quét máy chủ web SSL. Nó cung cấp phân tích chuyên sâu về URL https của bạn bao gồm ngày hết hạn, xếp hạng tổng thể, Mật mã, phiên bản SSL / TLS, chi tiết giao thức, BEAST và nhiều hơn nữa.
Nếu bạn đang chạy một trang web (https), bạn đừng chờ đợi gì nữa hãy thực hiện kiểm tra nhanh.
Bạn cần đăng ký một tài khoản miễn phí để thực hiện FreeScan.
4. Quttera
Quttera có tác dụng kiểm tra trang web để tìm phần mềm độc hại và khai thác lỗ hổng.
Quttera quét trang web của bạn để tìm các tệp độc hại, phishTank.
5. SiteGuarding
SiteGuending giúp bạn quét tên miền để tìm phần mềm độc hại, danh sách trang web đen, spam.
SiteGuending cũng giúp bạn loại bỏ phần mềm độc hại khỏi trang web của bạn. Nếu trang web của bạn bị vi-rút, SiteGuarding sẽ rất hữu ích.
6. Web Inspector
Web Inspector quét trang web của bạn và báo cáo danh sách đen, lừa đảo, phần mềm độc hại, Worms, Backreen, Trojans.
Vậy nên hãy chạy thử scan để tìm ra xem web của bạn có đọc hại không nhé.
7. Acunetix
Acunetix phân tích trang web hoàn chỉnh cho hơn 500 lỗ hổng bao gồm DNS và cơ sở hạ tầng mạng từ các máy chủ Acunetix.
Acunetix cung cấp 14 ngày dùng thử miễn phí và bạn có thể đăng ký và xác thực tên miền của mình.
8. Netsparker Cloud
Netsparker Cloud là một trình quét bảo mật ứng dụng web dành cho doanh nghiệp, quét hơn 25 lỗ hổng nghiêm trọng. Netsparker miễn phí cho dự án nguồn mở, bạn có thể dùng thử để chạy quét.
9. UpGuard Web Scan
UpGuard Web Scan là một công cụ đánh giá rủi ro bên ngoài sử dụng thông tin có sẵn công khai để detect ra SSL, tấn công Clickjack, Cookie, DNSSEC, Tiêu đề, v.v. Nó vẫn còn trong giai đoạn thử nghiệm nhưng đáng để thử.
10. Tinfoil Security
Bảo mật Tinfoil giúp trang web của bạn chống lại 10 lỗ hổng OWASP hàng đầu và sau đó là các lỗ hổng bảo mật khác.
11. Observatory
Mozilla gần đây đã giới thiệu Observatory giúp chủ sở hữu trang web kiểm tra các yếu tố bảo mật khác nhau. Observatory giúp chống lại bảo mật tiêu đề OWASP và thực hiện các thử nghiệm của bên thứ ba từ SSL Labs, High-Tech Bridge, Security Headers, HSTS Preload, etc.
12. Detectify
Detectify là một trình quét bảo mật tự động trên ứng dụng web dựa theo mô hình SaaS. Nó thu được hơn 100 bài kiểm thử bảo mật tự động bao gồm OWASP Top 10, các phần mềm ác ý và nhiều hơn nữa. Defectify được dùng thử 21 ngày, nếu muốn thực hiện quét bảo mật đối với trang web của mình bạn sẽ phải đăng ký.
Trên đây là chia sẻ của mình về một số công cụ miễn phí trực tuyến để quét lỗ hổng bảo mật trang web và phần mềm độc hại hiện nay. Cám ơn các bạn đã đọc, rất mong bài viết của mình có thể giúp đỡ phần nào những vướng mắc của các bạn!
Via Viblo