FAQ
1.
Как начать сканирование?

Сканировать с PT BBS быстро и просто. Вам достаточно лишь указать адрес вашего сайта — в интернете или в локальной сети — и настроить способ сканирования:

  • Без подтверждения владения сайтом можно сканировать через агент. Агент — это небольшая программа, не требующая установки на компьютере. Достаточно просто запустить безопасный исполняемый файл, активировать агент и выбрать его в списке при настройке сканирования. Этот способ удобен, когда вы не можете или не хотите вносить изменения в корневой каталог вашего сайта или сайт находится за NAT (в локальной сети). Обратите внимание, что данный способ не дает возможности анонимного сканирования. Все запросы агент туннелирует от нашего сервиса к проверяемому сайту через компьютер пользователя, который запустил сканирование. Это означает, что на стороне сайта будет видно, с какого компьютера (IP-адреса) идут запросы.
  • С подтверждением владения сайтом. Для этого нужно разместить специальный HTML-файл в корневом каталоге сайта, который вы хотите проверить. Наша система «увидит» файл и сделает доступным запуск сканирования.
2.
Что такое агент и для чего он нужен? Зачем могут понадобиться несколько агентов?

Агент — это небольшая open-source программа (безопасный исполняемый файл), не требующая установки на компьютере и особых привилегий. Агент нужен для сканирования сайтов в локальных сетях (за NAT) и в тех случаях, когда нет возможности подтвердить владение сайтом с помощью сертификата, например когда аудит проводят внешние эксперты, не имеющие доступа к серверам сайта. Агент создает туннель, через который передаются запросы от сканирующего сервера к проверяемому сайту.

Для проверки сайта через агент вам необходимо выбрать этот способ при настройке сканирования, запустить агент и активировать его с помощью кода, который сгенерирует наш сервис; после этого можно запускать сканирование.

Мы сделали возможным использование нескольких агентов для одной учетной записи. Это понадобится, если вы планируете проводить сканирование разных сайтов из разных мест, например с рабочего места и с домашнего компьютера, в локальной сети или удаленно. Перед началом укажите в параметрах сканирования агент, запущенный на компьютере, с которого вы хотите произвести проверку в данный момент.

3.
Как настроить сканирование областей сайта, доступ к которым осуществляется по логину и паролю (ограничен аутентификацией)?

Наш сервис поддерживает два типа сканирования областей сайта, защищенных аутентификацией, — HTTP Basic и HTML-форму — включение которых доступно в параметрах сканирования для конкретного сайта. Вам необходимо установить флажок «Аутентификация» и выбрать нужный тип:

  • В случае аутентификации по типу HTTP Basic потребуется ввести только логин и пароль пользователя, от имени которого сканер авторизуется на сайте.
  • Аутентификация по HTML-форме кроме логина и пароля требует, чтобы были указаны URL формы авторизации и проверочная строка. Проверочная строка — это любой фрагмент текста, находящегося на странице, которая доступна пользователю только после авторизации; такой фрагмент необходим сканеру для проверки успешной авторизации.
4.
Можно ли сканировать веб-приложения, находящиеся за NAT (в локальной сети)?

Да, с помощью агента — безопасного исполняемого файла, который необходимо запустить и активировать на компьютере, с которого вы хотите начать сканирование.

5.
Как часто нужно сканировать сайт?

Мы рекомендуем сканировать сайт не реже одного раза в месяц — или после каждого обновления. Даже если вы не меняли сайт, могли измениться его окружение, версия CMS, могли быть найдены новые уязвимости или способы атаки. Мы регулярно обновляем наши алгоритмы и базу знаний и поможем вам своевременно обнаружить уязвимости и исправить их, что существенно повысит безопасность вашего сайта и его пользователей.

6.
Может ли ваш сканер испортить мой сайт своими запросами?

Вероятность этого очень мала. Мы специально подбирали такие запросы, чтобы они не наносили вреда проверяемым сайтам. Кроме того, сканер анализирует ссылки на сайте, чтобы замечать «опасные» (например, связанные с удалением страниц) и не переходить по ним.

Хотя мы сделали сканер максимально безопасным, мы настоятельно рекомендуем сканировать сайты в тестовой среде. Регулярно делайте резервные копии (даже если вы не планируете сканировать сайты).

7.
Как долго длится сканирование одного сайта?

Длительность сканирования зависит от размера и сложности сайта, от качества соединения и географического расположения серверов, на которых работает сайт. По нашим данным, сканирование может занимать от нескольких минут на простых сайтах — до 10 и более часов на самых сложных.

8.
Как я узнаю, что сканирование закончилось?

В процессе сканирования сервис показывает индикатор: сколько процентов уже пройдено и сколько осталось. О том, что сканер успешно завершил сканирование, вы узнаете по смене статуса в списке сканирований, а также в разделе «Уведомления». В будущих версиях мы планируем добавить возможность отправки уведомлений на электронную почту. Если сканирование длится очень долго, «зависло» или прервано системой, проверьте:

  • Интернет-соединение — сбой сканирования может произойти из-за проблем с соединением как на вашей стороне, так и на стороне дата-центра, где расположен сайт.
  • Работает ли программа-агент, если проверка была запущена через нее.
  • Доступен ли проверяемый сайт — убедитесь, что сайт не блокирует запросы от сервиса и открывается в браузере. Если ваш сайт размещается на виртуальном хостинге, обратитесь в службу поддержки хостинг-провайдера: возможно, запросы от PT BBS заблокированы на его стороне из-за количества и частоты. В будущих версиях сервиса мы планируем возможность настраивать частоту отправки запросов к проверяемому ресурсу.

Каждые 30 секунд агент сообщает о статусе проверки в консоли, а на странице сервиса обновляется индикатор сканирования.

Мы дорожим вашим временем и пристально следим за качеством работы PT BBS. Для этого мы настроили систему мониторинга работы сервиса, позволяющую нам своевременно получать информацию обо всех сбоях. Если сканирование прервалось по нашей вине, мы в кратчайшие сроки устраним проблему и известим вас об этом.

9.
В результате сканирования PT BlackBox Scanner нашел уязвимости разной степени риска. Какие уязвимости устранять и как?

Результатом сканирования является отчет о найденных уязвимостях с указанием множества полезных параметров — типа уязвимости, уровня угрозы, URL, места внедрения уязвимости, вектора атаки, а также пары «запрос — ответ», по которым была обнаружена данная уязвимость. В будущих версиях продукта мы предложим еще более развернутое описание с рекомендациями по исправлению.

Много полезной информации об уязвимостях и атаках можно найти в базе знаний OWASP.

10.
Что значит «уровень угрозы»? Можно ли не исправлять уязвимости с низким уровнем риска?

Уровень угрозы — это степень опасности найденной уязвимости. Чем выше уровень угрозы, тем больше вреда атакующий сможет нанести, эксплуатируя эту уязвимость. Уровень угрозы поможет вам понять, в каком порядке исправлять уязвимости: сначала «красные» (с высокой степенью риска), затем «желтые» (средняя степень), потом все остальные.

Игнорировать уязвимости с низким уровнем риска — не лучший подход, поскольку существуют атаки, для проведения которых нужны несколько конкретных уязвимостей, в том числе и не слишком опасных по отдельности. Эксплуатация уязвимости низкой степени риска, как правило, не приводит к взлому, однако может существенно облегчить хакеру сбор информации о сайте, которая пригодится ему в дальнейшем.

11.
Как проверить, исправлены ли уязвимости?

Чтобы проверить, исправлены ли уязвимости, вам необходимо заново просканировать сайт. Для вашего удобства сервис предоставляет возможность помечать уязвимости как исправленные. Если при повторном сканировании эти уязвимости опять будут обнаружены, сервис снимет отметку «Исправлено».

12.
Можно ли сканировать сразу несколько сайтов?

Текущая версия сервиса предоставляет возможность сканирования только одного сайта за один раз. При этом мы не накладываем ограничений ни на количество сайтов, ни на количество самих сканирований.

В будущих версиях мы планируем добавить возможность сканирования нескольких сайтов одновременно.

13.
Можно ли сканировать сайт, владельцем которого я не являюсь?

Нет, сканирование чужих сайтов запрещено. Сканируя чужой сайт, вы нарушаете уголовное законодательство России и условия использования PT BlackBox Scanner.

В статьях 272 и 273 Уголовного кодекса РФ установлена ответственность за неправомерный доступ и копирование компьютерной информации.

В разделе 6 лицензионного соглашения PT BlackBox Scanner установлена ответственность за его неправомерное использование. Вы отвечаете за любые возможные убытки, прекращение нормального функционирования либо повреждение веб-сайтов, принадлежащих третьим лицам, в отношении которых вы использовали PT BlackBox Scanner.