Narzędzia i recenzje

Narzędzia do analizy bezpieczeństwa witryn

Przegląd dostępnych publicznie narzędzi, które właściciele stron mogą wykorzystać do samodzielnej oceny stanu bezpieczeństwa swojej witryny. Opisujemy możliwości i ograniczenia każdego z nich.

Skanery SSL i HTTPS

Weryfikacja certyfikatów i konfiguracji TLS

Poniższe narzędzia analizują konfigurację szyfrowania połączenia i wykrywają typowe błędy w implementacji SSL/TLS.

SSL Labs (Qualys)

Skaner SSL/TLS

Jedno z najbardziej szczegółowych narzędzi do analizy konfiguracji HTTPS. Ocenia protokoły szyfrowania, łańcuch certyfikatów, obsługę HSTS i podatność na znane ataki takie jak BEAST czy POODLE. Wynik prezentowany jest w formie oceny literowej od A+ do F.

Bezpłatne
Bez rejestracji
Szczegółowy raport
Narzędzie dostępne na stronie ssllabs.com. Wyniki są publicznie widoczne chyba że wybierzemy opcję prywatnego skanowania.

Security Headers

Analiza nagłówków HTTP

Sprawdza obecność i poprawność nagłówków bezpieczeństwa HTTP takich jak Content-Security-Policy, X-Frame-Options, Referrer-Policy i Permissions-Policy. Nagłówki te chronią przed atakami XSS, clickjackingiem i wyciekiem informacji o użytkowniku.

Bezpłatne
Szybkie wyniki
Wskazówki naprawcze
Dostępne na securityheaders.com. Wyniki można udostępniać przez unikalny link.

Google Search Console

Monitoring widoczności i błędów

Bezpłatne narzędzie Google informujące o problemach bezpieczeństwa wykrytych przez Googlebot: złośliwe oprogramowanie, phishing, zainfekowane strony. Zawiera też raporty o błędach indeksowania, które mogą być efektem problemów z konfiguracją HTTPS.

Bezpłatne
Wymaga weryfikacji domeny
Alerty bezpieczeństwa
Wymaga logowania przez konto Google i potwierdzenia własności domeny.
Audyt kompleksowy

Narzędzia do ogólnego audytu witryny

Google Lighthouse

Audyt wydajności i bezpieczeństwa

Wbudowany w Chrome DevTools audytor stron. Sprawdza wydajność, dostępność, SEO i podstawowe praktyki bezpieczeństwa. Raport zawiera m.in. informacje o brakujących nagłówkach bezpieczeństwa, mieszanej treści HTTP/HTTPS i innych problemach wpływających na ocenę witryny.

Wbudowany w Chrome
Offline (lokalny audyt)
Eksport do JSON/HTML
Dostępny przez DevTools (F12) lub jako rozszerzenie. Można też użyć web.dev/measure.

OWASP ZAP (Zed Attack Proxy)

Skaner podatności webowych

Otwarte narzędzie do skanowania aplikacji webowych pod kątem typowych podatności: XSS, SQL Injection, CSRF i innych z listy OWASP Top 10. Dostępne w trybie pasywnym (obserwacja ruchu) i aktywnym (testowanie). Wymaga instalacji i podstawowej wiedzy technicznej.

Bezpłatne, open source
Wymaga instalacji
Szczegółowe raporty
Używać wyłącznie na własnych witrynach lub z wyraźnym zezwoleniem właściciela serwisu.

WPScan

Skaner podatności WordPress

Narzędzie specjalizowane w wykrywaniu podatności w instalacjach WordPress: nieaktualne wtyczki, motywy, konfiguracja pliku wp-config.php, wystawione pliki z informacjami o wersji. Korzysta z bazy podatności aktualizowanej przez społeczność.

Darmowy plan
Wymaga instalacji (Ruby)
Baza podatności WP
Dostępny też jako usługa online z ograniczonym darmowym planem.
Jak korzystać

Kilka uwag przed użyciem narzędzi

Testuj tylko własne witryny

Skanowanie aktywne cudzych witryn bez zgody właściciela jest niezgodne z prawem w większości jurysdykcji, w tym w Polsce. Narzędzia pasywne (analiza nagłówków, SSL) są bezpieczne dla dowolnych domen publicznych.

Interpretuj wyniki w kontekście

Niski wynik w narzędziu nie zawsze oznacza realne zagrożenie. Niektóre "ostrzeżenia" dotyczą konfiguracji, która może być świadoma. Raport to punkt wyjścia do analizy, nie wyrok końcowy.

Powtarzaj audyty regularnie

Nowe podatności są odkrywane codziennie. Wynik sprzed sześciu miesięcy może być nieaktualny. Planowanie regularnych przeglądów to element strategii bezpieczeństwa, nie jednorazowe działanie.

Materiały wizualne

Narzędzia w działaniu

Przykładowy raport skanera SSL z oceną konfiguracji certyfikatu
Panel narzędzia do audytu bezpieczeństwa strony internetowej z wynikami testów
Wyniki skanowania podatności witryny internetowej z podziałem na kategorie ryzyka