Pun spisak provera koje pen.narbiz.com radi na tvom sajtu, objašnjeno običnim jezikom. Tri nivoa, od bezbednog gledanja spolja do dubinske provere iza prijave.
Radimo samo na sajtovima čije vlasništvo dokažeš.
Aktivne i provere iza prijave kreću tek kad potvrdiš vlasništvo nad domenom (DNS zapis ili fajl) i ovlašćenje za testiranje. Svaki sken se beleži: ko, kada i sa koje IP adrese. Besplatna provera bez naloga radi samo pasivni deo, nad javno dostupnim podacima, i ne dira sajt.
Pasivne provere (bezbedno za svaki sajt)
19 provera
TLS / HTTPS i sertifikat
Da li sajt koristi šifrovanu vezu i ispravan, važeći sertifikat.
Bezbednosni headeri
HSTS, CSP, zaštita od clickjacking-a i slično.
Kolačići
Da li su kolačići sesije bezbedno označeni (HttpOnly/Secure/SameSite).
Izloženi fajlovi
Javno dostupni interni fajlovi (.git, .env, phpinfo).
CORS pravila
Ko sme da čita podatke sajta iz drugog domena.
WordPress provere
Enumeracija korisnika i xmlrpc (ako je sajt na WordPress-u).
Email / DNS (SPF, DMARC)
Zaštita od lažiranja mejlova u tvoje ime.
Ostalo (verzije, mixed content, security.txt)
Sitnije provere otkrivanja informacija.
DDoS otpornost
Da li si iza CDN/WAF štita (npr. Cloudflare) od napada preopterećenjem.
Reputacija i crne liste
Da li je sajt/domen/IP na crnim listama (VirusTotal, Google Safe Browsing, URLhaus, ThreatFox, AbuseIPDB, Shodan).
Poddomeni (površina napada)
Koje sve poddomene napadač vidi (preko javnih sertifikata) i da li je neki osetljiv (admin, dev, staging…).
Slični domeni (typosquatting)
Da li je neko registrovao domen sličan tvom da te imitira/phishuje.
DNS higijena (CAA/DKIM)
CAA (ko sme da izda sertifikat) i DKIM (potpis mejlova), uz SPF/DMARC.
Preuzimanje poddomena (takeover)
Poddomen pokazuje na nepreuzetu uslugu (S3/GitHub Pages/Heroku…), napadač ga može preuzeti i hostovati sadržaj na tvom domenu.
Tajne u JavaScript-u
API ključevi/tokeni iscureli u klijentskom JS-u i izloženi source-map (.js.map) fajlovi koji vraćaju izvorni kod.
DNS snaga (SPF/DMARC politika, DNSSEC)
Da li su SPF/DMARC politike stvarno stroge (ne p=none/+all), DNSSEC uključen i zona zaštićena od AXFR transfera.
Poznate ranjivosti (verzija → CVE/EOL)
Otkrivena verzija servera/CMS-a mapirana na poznate ranjivosti i kraj-životnog-veka.
Backup i listanje foldera
Izloženi backup fajlovi (.zip/.sql/.bak/.old) i otvoreno listanje direktorijuma.
Izložena API dokumentacija
Javni Swagger/OpenAPI endpoint, mapa cele API površine za napadača.
Aktivne provere (traže potvrđeno vlasništvo)
10 provera
HTTP metode
Opasne metode na serveru (TRACE/PUT/DELETE).
Reflektovani XSS (proba)
Da li se uneta vrednost vraća neobrađena u stranu.
Open redirect
Preusmeravanje na proizvoljan spoljni domen (phishing).
Detaljne greške
Curenje internih detalja sistema kroz poruke o greškama.
Osetljivi fajlovi (prošireno)
backup.zip, .sql, .svn, admin paneli i sl.
CORS (aktivna proba)
Da li server reflektuje proizvoljan Origin uz kredencijale.
SQL injection (proba)
Bezbedna error-based proba, da li se baza otkriva kroz poruke o greškama.
Server-side template injection
Da li se ubačen izraz (npr. {{7*7}}) izvrši na serveru.
GraphQL introspekcija
Da li GraphQL endpoint javno otkriva celu šemu (introspection).
Login: enumeracija naloga
Da li login otkriva DA LI nalog postoji (1 benigni neuspeli login, bez brute-force/lockout-a).
Provere iza prijave (authenticated sken)
2 provera
Sesija i CSRF
Session fixation, flagovi auth-kolačića, CSRF na formama.
Kontrola pristupa
Da li su privatne strane dostupne bez prijave (broken access control).