惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog RSS Feed
Google DeepMind News
Google DeepMind News
罗磊的独立博客
Martin Fowler
Martin Fowler
博客园_首页
Stack Overflow Blog
Stack Overflow Blog
Last Week in AI
Last Week in AI
The GitHub Blog
The GitHub Blog
B
Blog
C
Check Point Blog
WordPress大学
WordPress大学
G
Google Developers Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
量子位
月光博客
月光博客
U
Unit 42
Engineering at Meta
Engineering at Meta
有赞技术团队
有赞技术团队
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
大猫的无限游戏
大猫的无限游戏
博客园 - 聂微东
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Y
Y Combinator Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Vercel News
Vercel News
Application and Cybersecurity Blog
Application and Cybersecurity Blog
博客园 - 【当耐特】
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Jina AI
Jina AI
S
Secure Thoughts
aimingoo的专栏
aimingoo的专栏
D
Darknet – Hacking Tools, Hacker News & Cyber Security
I
Intezer
Latest news
Latest news
V
Vulnerabilities – Threatpost
D
Docker
Attack and Defense Labs
Attack and Defense Labs
Help Net Security
Help Net Security
S
Security @ Cisco Blogs
Forbes - Security
Forbes - Security
MongoDB | Blog
MongoDB | Blog
云风的 BLOG
云风的 BLOG
L
LINUX DO - 热门话题
P
Palo Alto Networks Blog
Cloudbric
Cloudbric
Spread Privacy
Spread Privacy

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Обзор бесплатных инструментов для поиска веб-уязвимостей для 1С-Битрикс и Bitrix24
Mikhail Alekseev · 2026-06-22 · via Все публикации подряд на Хабре

Простой

5 мин

3

Существует немало бесплатных инструментов, способных выявлять веб-уязвимости, обнаруживать ошибки конфигурации и автоматизировать проверки безопасности. Если посмотреть на мировую IT-индустрию, огромный вклад в ее развитие вносит именно Open Source.

В этой статье рассмотрим ряд бесплатных инструментов, которые можно применять для анализа безопасности сайтов на «1С-Битрикс» и Bitrix24 и других веб-приложений. В конце немного расскажу про BitrixProbe, который начал создавать и пользоваться недавно для себя как дополнение к сканированию с MaxpatrolVM.

Nikto

Nikto это один из старейших бесплатных сканеров веб-серверов. Он проверяет ресурс на наличие потенциально опасных файлов, административных интерфейсов, устаревших компонентов и типовых ошибок конфигурации.

Nikto умеет:

  • работать по HTTP и HTTPS;

  • проверять нестандартные порты;

  • определять используемое серверное ПО;

  • искать опасные и служебные файлы;

  • выявлять небезопасные HTTP-заголовки;

  • работать через прокси;

  • использовать плагины и различные режимы проверок.

Сканер можно применять на начальном этапе обследования сайта. Например, он может обратить внимание на доступные служебные страницы, резервные копии, тестовые файлы или проблемы конфигурации веб-сервера.

Официальный репозиторий:
github.com/sullo/nikto

Nuclei

Nuclei это быстрый и расширяемый сканер уязвимостей от ProjectDiscovery.

Главная особенность Nuclei — использование YAML-шаблонов. Каждый шаблон описывает отдельную проверку: последовательность запросов, условия совпадения, уровень опасности и дополнительные метаданные.

С помощью Nuclei можно искать:

  • известные уязвимости;

  • ошибки конфигурации;

  • открытые административные панели;

  • чувствительные файлы;

  • стандартные учетные данные;

  • информационные утечки;

  • проблемы сетевых сервисов.

Для «1С-Битрикс» и Bitrix24 можно разрабатывать отдельные шаблоны, которые проверяют наличие служебных скриптов, публичных файлов, уязвимых компонентов и признаков конкретных уязвимостей. Перед запуском незнакомого шаблона желательно изучить его содержимое.

Пентестеры не редко используют данный сканер при внешнем сканировании. На github можно поискать готовые шаблоны под Bitrix, некоторые пентестеры их там выкладывают.

Официальный репозиторий:
github.com/projectdiscovery/nuclei

Документация:
docs.projectdiscovery.io/opensource/nuclei/overview

Burp Suite CE

Burp Suite один из наиболее известных наборов инструментов для анализа безопасности веб-приложений.

Бесплатная Community Edition не является Open Source, но предоставляет основные возможности для ручной работы с HTTP- и HTTPS-трафиком.

Burp Suite позволяет:

  • перехватывать запросы браузера;

  • изменять параметры, заголовки и cookies;

  • повторно отправлять запросы через Repeater;

  • анализировать авторизацию и управление сессиями;

  • проверять загрузку файлов;

  • исследовать API;

  • тестировать бизнес-логику приложения.

Burp Suite особенно полезен при ручной проверке компонентов, AJAX-обработчиков, REST API, административных интерфейсов и механизмов разграничения доступа.

Через Burp можно увидеть, какие запросы приложение отправляет на сервер, изменить идентификаторы объектов, параметры действий или значения cookies, а затем проверить реакцию приложения.

Бесплатная версия ограничена в части автоматического сканирования и скорости некоторых операций, но для ручного тестирования ее возможностей вполне достаточно.

Официальный ресурс:
portswigger.net/burp/communitydownload

OWASP ZAP

ZAP, ранее широко известный как OWASP ZAP, — бесплатный инструмент для динамического анализа безопасности веб-приложений.

Он может работать как перехватывающий прокси, пассивно анализировать трафик и выполнять автоматизированное сканирование.

Основные возможности ZAP:

  • перехват HTTP- и HTTPS-трафика;

  • пассивный анализ запросов и ответов;

  • автоматический поиск уязвимостей;

  • классический и AJAX Spider;

  • фаззинг параметров;

  • проверка WebSocket;

  • API для автоматизации;

  • поддержка дополнительных модулей.

ZAP подойдет тем, кому нужен бесплатный инструмент для ручного и автоматизированного анализа веб-приложений. Его можно применять для обследования публичных и авторизованных разделов сайтов.

Официальный ресурс:
zaproxy.org

SQLmap

Sqlmap — специализированный инструмент для обнаружения и исследования SQL-инъекций.

Он поддерживает множество СУБД и способен автоматизировать проверку различных техник SQL injection.

Sqlmap может работать с:

  • GET- и POST-параметрами;

  • cookies;

  • HTTP-заголовками;

  • JSON-запросами;

  • запросами, сохраненными из Burp Suite;

  • формами авторизации и пользовательскими сессиями.

Sqlmap полезен, когда предварительный анализ уже указывает на возможную SQL-инъекцию. Например, если параметр страницы или API-метода влияет на формирование запроса к базе данных, инструмент поможет подтвердить или опровергнуть наличие уязвимости.

Однако sqlmap не следует бездумно запускать по всем параметрам. Некоторые режимы создают значительную нагрузку, изменяют данные или пытаются получить доступ к операционной системе.

Начинать следует с минимально агрессивных настроек и только в рамках согласованного тестирования.

Официальный сайт:
sqlmap.org

Репозиторий:
github.com/sqlmapproject/sqlmap

BitrixProbe

Здесь я воспользуюсь возможностью и расскажу о своем недавнем инструменте. BitrixProbe я начал создавать в связи с трудностями, с которыми столкнулся при сканировании на уязвимости в системах под управлением CMS «1С-Битрикс» и Bitrix24.

Bitrix-проекты нередко значительно дорабатываются разработчиками и интеграторами. Некоторые коммерческие решения VM на сегодня не поддерживают сканирование Bitrix, c Nginx. Для меня это стало дополнительным аргументом в пользу создания отдельного инструмента, способного работать с разными вариантами Bitrix, включая Nginx и связку Nginx с Apache.

Изначально я планировал только аудит сканирование, но потом подумал, почему бы и не попробовать сделать что-то под пентест - внешний скан. В итоге сделал два режима:

  • pentest — внешнее сканирование по HTTP и HTTPS;

  • audit — локальный аудит сервера через SSH.

BitrixProbe в режиме pentest

Режим pentest предназначен для поиска публично доступных компонентов, служебных файлов, установочных и восстановительных скриптов, признаков модулей и некоторых уязвимостей, которые удается определить.

Хочу тут заметить, что даже MaxPatrol VM методом пентест определяет не все уязвимости в Битрикс, например критическая уязвимость BDU:2023-05857 и высокая BDU:2026-05965 неприменимы для пентест-проверок видимо в связи с определенными ограничениями. Много уязвимостей, требуют по умолчанию доступ и авторизованную сессию пользователя, например недавняя BDU:2026-04276 и она тоже не применима. Таким образом точное определение многих уязвимостей, без аутентификации невозможно, а по второстепенным признакам не является точным. Определить точно версии модулей Битрикс внешним сканированием тоже невозможно.

Пример запуска:

python -m bitrixprobe pentest --url https://example.com
Попытка распознать установленные модули

Попытка распознать установленные модули

BitrixProbe в режиме audit

Режим audit выполняет проверки непосредственно на сервере. Он позволяет анализировать локальную конфигурацию веб сервера, установленные модули Битрикс, версии компонентов, содержимое webroot и настройки Apache или Nginx. Потребуется учетная запись с доступом на чтение к веб каталогу.

Пример запуска:

python -m bitrixprobe audit \  
--host 192.168.1.10 \  
--port 22 \  
--user auditor \  
--webroot /var/www/bitrix
Тут PT-TRENDING чисто для демонстрации - сейчас уязвимость не трендовая

Тут PT-TRENDING чисто для демонстрации - сейчас уязвимость не трендовая

Для audit BitrixProbe использует локальную базу версий с данными CVE, BDU, CVSS и EPSS. Также учитывается признак PT Trending от PT Security, указывающий на трендовые для региона уязвимости. К сожалению на сайте вендора Битрикс я пока не нашел полную информацию по всем актуальным версиям всех модулей, поэтому база не содержит всё на 100%, но данные по версиям основных модулей имеются.

Репозиторий BitrixProbe:
github.com/ErSilh0x/bitrixprobe

В заключение

Nikto подойдет для первичного обследования веб-сервера, Nuclei для массовых и шаблонных проверок, Burp Suite и ZAP для ручного анализа веб-приложений, sqlmap для поиска SQL-инъекций, а BitrixProbe я использую для аудита «1С-Битрикс» и Bitrix24 и проверки версий модулей, сейчас больше в режиме аудита.

Бесплатные инструменты Open Source не отменяют необходимости в коммерческих решениях, но позволяют закрывать множество практических задач, там где коммерческие бессильны. Open Source дает свободу от монополий и регуляторов, возможность независимо подтвердить результат, формирует общие стандарты, ускоряет инновации и делает индустрию более конкурентной.