שרת & רשת

כותרות אבטחה ניתוח חופשי

נתח את כותרות האבטחה באתר שלך בחינם. קבלו ציון A-F על ידי בדיקת HSTS, CSP, X-FRAME-OPTIONS ועוד.

ניתוח שרשורי אבטחה
מידע

אודות כותרות אבטחה ניתוח חופשי

כותרות אבטחה הן כותרות תגובה של HTTP ששרת האינטרנט שלך שולח לדפדפן ומגנים על האתר מפני סוגי התקפות שונים. כלי חינמי זה בודק את ששת כותרות האבטחה הקריטיות של כתובת ה-URL שאתה מזין על ידי השרת; הוא מפרט את הנכס, הערך והמלצה קצרה על כל אחד מהם, ואחריו דירוג בטיחות כולל מ-A+ עד F.

הנושאים שנותחו הם: אבטחת תחבורה קפדנית (HSTS) האתר הופך את האתר לנגיש רק דרך HTTPS; מדיניות אבטחת תוכן (CSP) מונע התקפות XSS על ידי הגדרת אילו משאבים ניתן לטעון; אפשרויות X-Frame מגן מפני קליקג'קינג על ידי מניעת הופעת האתר שלך ב-iframes של אתרים אחרים; אפשרויות סוג תוכן X מכבה את חיזוי סוגי MIME; מדיניות מפנה בודק אילו מידע מפנה של מבקרים מועבר לצדדים שלישיים; הרשאות - מדיניות הגבלת הגישה לתכונות דפדפן כמו מצלמה, מיקרופון ומיקום.

כאשר כותרות אלו מתווספות, האתר שלך; XSS הופך לעמיד הרבה יותר בפני פגיעויות רשת נפוצות כמו קליקג'קינג, ריחוף MIME, דליפת מידע וגישה לא מורשית ל-API. התוצאות נשאלות בזמן אמת דרך השרת שלנו; כתובות רשת מקומיות ופרטיות חסומות מסיבות אבטחה.

איך להשתמש בזה?

שלב אחר שלב

  1. הכתובת של האתר שאתה רוצה לבדוק https://example.com פורמט.
  2. ניתוח כפתור; השרת שלנו שולח בקשה לאתר שלך.
  3. לכל קסדת בטיחות זמין (ירוק) או חסר (אדום) סטטוס והמלצה קצרה מוצגים.
  4. בראש העמוד הערת בטיחות כללית (A+ עד F) מוצג; אתה יכול לשפר את הציון שלך על ידי הוספת כותרים חסרים לתצורת השרת.
  5. ערך התארים הקיימים העתק כפתור.
שאלות נפוצות

שאלות נפוצות

כותרות אבטחה אומרות לדפדפן כיצד לנהל את האתר שלך. כאשר מוגדר נכון, הוא יוצר שכבת הגנה יעילה מפני התקפות נפוצות כגון XSS (סקריפטים חוצי אתרים), קליקג'קינג, ריח MIME, דליפת מידע מפנים וגישה לא מורשית לתכונות דפדפן.

כלי זה בודק 6 כותרות קריטיות: אבטחת תחבורה קפדנית, מדיניות אבטחת תוכן, אפשרויות X-Frame, אפשרויות סוג תוכן X, מדיניות מפנה ומדיניות הרשאות. אם כולם נוכחים והתגובה מוצלחת, מוענק ציון A+.

Apache בשרתים mod_headers מאת .htaccess או httpd.conf תיק סט כותרות הנחיות. ב-Nginx add_header נעשה שימוש בהנחיה. תוספי אבטחה ל-WordPress או .htaccess מספיק.

Content-Security-Policy מגדירה אילו דומיינים ומקורות, סקריפטים, סגנונות, תמונות וכו' ניתן להתקין אותם. אם זה מוגדר בצורה שגויה, זה עלול להרוס את האתר; לכן, קודם כל דוח-אבטחת תוכן בלבד מומלץ לבדוק במצב דיווח עם הכותרת.

חלק מהשרתים עשויים לחסום בקשות בוט, להגיב לאט מאוד ולהפסיק זמן, או להשתמש בתעודת SSL לא תקפה. כמו כן, מסיבות אבטחה, לא ניתן לבצע שאילתות לכתובות IP פרטיות ורשת מקומית (localhost, 192.168.x וכו').
חזרה לכל הכלים החינמיים