Поиск

OpenVAS - это автоматизированное средство проверки серверов на уязвимости.

ВНИМАНИЕ! Вы имеете право проверять только свои серверы. Проверка чужих незаконна, т.к. это является взломом.

Самое удобное для тестирования - использовать докер. Если вы с ним еще незнакомы, то почитайте эти статьи: раз, два.

docker run -d -p 443:443 --name openvas mikesplain/openvas

Далее заходим по адресу https://localhost и жмем кнопку “Подробнее” и “Сделать исключение для этого сайта” (у него самоподписанный SSL-сертификат).

Заходим в админку (иногда приходится очень долго ждать, вплоть до 5 минут, пока все запустится):

Логин: admin
Пароль: admin

Переходим в верхнем меню в Scans -> Tasks. Слева сверху наводим на волшебную палочку (маленькая фиолетовая иконка). После этого появляется окно с просьбой ввести хост или IP-адрес. Вводим туда что-то, например, crusat.ru. После этого запускается анализ сервера на уязвимости. Это займет некоторое время, можно отслеживать прогресс в столбце “Status”.

После того, как статус сменился на “Done”, можно нажать на единичку в столбце “Reports”. После этого вы перейдете на список отчетов. В нем надо нажать в первом столбце (поле “Date”) на заголовок отчета - после этого откроется список найденных уязвимостей с отображением их критичности и описанием (по клику можно посмотреть подробности).

Также, можно скачать отчет. Для этого слева от главного заголовка “Report: Results” надо навести на стрелочку и выбрать первый пункт (“Report: Summary and Download”). Он перебросит на страницу с двумя отчетами - отфильтрованный и полный. Справа от каждого есть поле выбора (там можно выбрать, например, PDF) и зеленая стрелочка - по ней можно скачать отчет в выбранном формате.

В целом, рекомендую покопаться в интерфейсе - много интересного можно найти.

Удачи и держите свои машины в безопасности!

Сегодня узнал о крутой защите от ботов. Блокирует не только традиционными способами, но и активно используя машинное обучение.

Называется она - Distil Networks

Если использовать вместе с рекапчей от гугла, то на сайт вообще практически невозможно пробиться автоматизированными путями. Да, селениум тоже заблокирует. Да, может не с первого раза, но на 2-3 заблокирует.

Кому очень надо, вот здесь ребята с реддит уверяют, что могут обойти защиту https://www.reddit.com/r/webdev/comments/5q1ypx/what_is_your_approach_on_scraping_distil_networks/

Перевел сайт на новый движок - hexo. Посмотрим, как он себя покажет, пока все нравится. Планирую снова размещаться на гитхабе.

Осталось перенести прошлые статьи :) В общем, есть надежда, что сайт снова заработает и кому-то будет приносить пользу.

Jekyll - это генератор статических сайтов. Его удобно использовать для статичных блогов, чтобы потом их можно было разместить, например, на гитхабе.

Jekyll написан на ruby, поэтому установка следующая (пример для ubuntu):

# Устанавливаем ruby

sudo apt-get install ruby ruby-dev

# Устанавливаем jekyll

sudo gem install jekyll -V

# Создаем новый статичный сайт и запускаем встроенный сервер

jekyll new my-awesome-site
cd my-awesome-site
jekyll serve

# Заходим в браузере на страницу http://localhost:4000 и смотрим результат.

Все просто.

• Сайт
• Документация

Практически все, что здесь написано, есть на официальном сайте.

<span>1.</span> Переходим в /etc/apache2/sites-available
<span>2.</span> Создаем файл example.local.conf
<span>3.</span> Вставляем свои данные:

<VirtualHost *:80>
    ServerName example.local
    ServerAlias www.example.local
    DocumentRoot "/var/www/example"
    <Directory "/var/www/example">
        allow from all
        Options +Indexes
    </Directory>
</VirtualHost>

<span>4.</span> Переходим в каталог /etc/apache2/sites-enabled
<span>5.</span> Создаем ссылку на файл example.local.conf

$ sudo ln -s /etc/apache2/sites-available/example.local.conf example.local.conf

<span>6.</span> Перезапускаем апач:

$ sudo /etc/init.d/apache2 restart

<span>7.</span> Редактируем файл /etc/hosts и добавляем следующую строку:

127.0.0.1 example.local

P.S. Если у вас появляется 500 ошибка, то рекомендую посмотреть логи апача (возможно, у вас не включен mod_rewrite или еще что-либо):

$ tail -f /var/log/apache2/error.log

Если в системе не установлены нужные для сайта шрифты, если их нельзя установить, либо еще по какой-то причине phantomjs показывает вам квадратики, можете попробовать следующий способ.
На сайте, с которым работаем, задать @font-face для всех используемых шрифтов и только после этого читать/фотографировать содержимое страницы. ВНИМАНИЕ! Работает только на версии >= 1.6.

См. пример, здесь БУДУТ квадратики:

<!DOCTYPE HTML>
<html>
<head>
    <title>@font-face demo</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

    <style type="text/css">
        body {
            font-family: Arial;
            margin: 50px;
        }
    </style>
</head>
<body>
    <p>Тест русского текста.</p>
    <p>Если вы видите русский текст, то тест успешно пройден.</p>
</body>
</html>

Для запуска можно использовать примерно такую команду:

phantomjs rasterize.js http://crusat.ru/demos/fontface/index-no-fontface.html test.png

А здесь со шрифтами все будет отлично:

<!DOCTYPE HTML>
<html>
<head>
    <title>@font-face demo</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

    <style type="text/css">
        @font-face {
            font-family: Arial;
            src: url(arial.ttf) format("truetype");
        }
        body {
            font-family: Arial;
            margin: 50px;
        }
    </style>
</head>
<body>
    <p>Тест русского текста.</p>
    <p>Если вы видите русский текст, то тест успешно пройден.</p>
</body>
</html>

Для запуска можно использовать примерно такую команду:

phantomjs rasterize.js http://crusat.ru/demos/fontface/index.html test.png

Это самое простое решение, что пришло мне в голову.

Для решения этой проблемы существует решение. Для этого, вставьте в раздел head, сайта, код ниже.

<!--[if lt IE 9]>
<script src="http://html5shim.googlecode.com/svn/trunk/html5.js"></script>
<![endif]-->

Это не панацея и, конечно, какие-то баги останутся. Но, по крайней мере, их окажется намного меньше, чем было.

Взято с http://remysharp.com/2009/01/07/html5-enabling-script/

Еще одна интересная статья (очень много букв :) ), в которой рассказываются приемы и особенности, благодаря которым можно достичь уменьшения времени загрузки страниц сайта. Рекомендую почитать всем веб-мастерам.

Рекомендации по повышению скорости работы вашего веб-сайта

Встретил интересную статью, которая пригодится владельцам/разработчикам интернет-магазинов. В ней рассказываются плюсы и минусы платежных агрегаторов/самостоятельного подключения магазина к каждой платежной системе. Ниже ссылка.

Почему я не использую платёжный агрегатор