Pen: skenirao sam svoje sajtove kao haker

Napravio sam bezbednosni skener pa ga prvo okrenuo ka sopstvenim sajtovima. Iskren izveštaj: šta je našao, šta me je iznenadilo i šta svaka firma može da proveri za pet minuta.
Ilustracija: noćni čuvar sa fenjerom ispred kuće pod punim mesecom, tamnoljubičasta noć
Share

Prosečan sajt male firme u Srbiji nikada nije prošao ni osnovnu bezbednosnu proveru, a upravo takvi sajtovi su najlakša meta jer se napadi ne biraju ručno nego se skeniraju masovno. Napravio sam Pen, skener koji tu proveru radi automatski, i prvo ga okrenuo ka sopstvenim sajtovima. Evo šta se desilo.

Zašto sam prvo skenirao sebe?

Zato što je to najpošteniji test. Vodim više od deset proizvoda i bio sam ubeđen da je kod mene sve zategnuto. Uglavnom jeste, ali „uglavnom” je opasna reč u bezbednosti: skener je i kod mene našao zaboravljena bezbednosna zaglavlja na starijim sajtovima i jednu verziju biblioteke koju sam mislio da sam svuda ažurirao. Ništa dramatično, ali dovoljno za crvenilo u licu.

Šta skener proverava za pet minuta

  • HTTPS i sertifikate: da li ističu, da li je preusmerenje ispravno.
  • Bezbednosna zaglavlja: ono nevidljivo što browser koristi da te zaštiti, a što na većini sajtova jednostavno ne postoji.
  • Zastareli softver: verzije CMS-a, biblioteka i servera sa poznatim rupama.
  • Stvari koje ne bi smele biti javne: admin paneli bez zaštite, zaboravljeni fajlovi, otvoreni direktorijumi.

Najčešći nalazi kod drugih

Otkad Pen koriste i drugi, obrazac je uvek isti: sajt je pravljen pre par godina, agencija je završila posao, i od tada ga niko nije pipnuo. WordPress bez ažuriranja, dodaci sa poznatim ranjivostima, i lozinke koje se nisu menjale od prvog dana. Popravka je skoro uvek jeftina, problem je što niko ne zna da problem postoji.

Česta pitanja

Kome uopšte treba provera, ako sajt „samo stoji”?

Baš takvima najviše. Napadaču tvoj sadržaj nije bitan, bitan mu je tvoj server za slanje spama, tvoj domen za phishing i tvoji posetioci za prevare. Sajt koji „samo stoji” je sajt koji niko ne nadgleda.

Koliko često treba skenirati?

Posle svake veće izmene i bar jednom mesečno, jer se nove ranjivosti objavljuju svaki dan. Zato Pen radi i zakazano, ne samo na klik.

Da li je ovakvo skeniranje legalno?

Svoj sajt uvek smeš da proveravaš. Tuđi samo uz saglasnost vlasnika, i Pen je zato vezan za potvrdu vlasništva domena.

Kako testiram dublje od skenera, sa 12 dimenzija provere za svaki svoj proizvod, opisao sam u posebnom tekstu.

Ilustracija: kameni stub kao spomenik zakona na praznom trgu, sitne figure u podnožju

Fiskalna kasa, SEF i e-otpremnice: šta zakon traži 2026.

Prev
Ilustracija: svetionik noću baca zlatni snop svetla nad tamnim morem sa svetlećim tačkama

Tender Radar: javne nabavke nisu samo za velike

Next
Comments
Add a comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Koristan sadržaj
Koristan sadržaj
Koristan sadržaj
Stay in the Loop
Koristan sadržaj
Upiši svoj mejl i jednom kvartalno šaljem ti koristan sadržaj.