Комплексный отчет безопасности веб-сервера
Сканирование Nikto для веб-приложений
example.com
Инструмент: Nikto 2.1.5 | Дата: 13 января 2026
Резюме сканирования
Отчет представляет результаты комплексного сканирования безопасности веб-сайта https://example.com с использованием инструмента Nikto 2.1.5. Сканирование выявило 3 потенциальные проблемы, требующие внимания администраторов.
Статистика сканирования:
| Параметр | Значение |
|---|---|
| Целевой хост | example.com (188.114.96.12) |
| Порт | 443 (HTTPS) |
| HTTP-сервер | Cloudflare |
| Дата сканирования | 13 января 2026 г., 05:24:40 |
| Время выполнения | 6 минут 31 секунда (391 сек) |
| Проверено элементов | 6,544 |
| Выявлено проблем | 3 |
| Обнаружено ошибок | 0 |
Общая оценка безопасности: СРЕДНИЙ УРОВЕНЬ РИСКА
Выявленные проблемы не представляют критической угрозы, но требуют устранения для повышения общего уровня безопасности веб-приложения и защиты пользователей.
Выявленные проблемы
🟡 (1) Отсутствие заголовка X-Frame-Options
Уровень риска: СРЕДНИЙ
OSVDB-0
Описание проблемы:
Отсутствует заголовок безопасности X-Frame-Options, который защищает от атак типа clickjacking. Этот заголовок критичен для предотвращения встраивания сайта в iframe на вредоносных ресурсах.
Техническая информация:
- URI: /
- HTTP-метод: GET
- Затронутые эндпоинты: https://example.com:443/
Потенциальные последствия:
- Возможность проведения атак clickjacking
- Встраивание сайта в iframe на вредоносных ресурсах
- Обман пользователей через скрытые элементы интерфейса
- Перенаправление действий пользователя на вредоносные ресурсы
Решение:
// Конфигурация LiteSpeed/Nginx add_header X-Frame-Options "DENY" always; // или add_header X-Frame-Options "SAMEORIGIN" always; // Альтернатива через CSP add_header Content-Security-Policy "frame-ancestors 'none';" always;
🟢 (2) Нестандартный заголовок cf-ray
Уровень риска: НИЗКИЙ (Информационный)
Информация
Описание:
Обнаружен нестандартный заголовок cf-ray с содержимым: 9bd22015ba62bc6c-ZRH
Анализ:
Данный заголовок является стандартным для сервисов Cloudflare и используется для трассировки запросов и диагностики проблем. Не представляет угрозы безопасности и может использоваться для отладки.
Статус:
✓ Информационно, не требует действий
🟡 (3) Несоответствие SSL-сертификата
Уровень риска: СРЕДНИЙ
OSVDB-0
Описание проблемы:
Имя хоста example.com не соответствует Common Name (CN) SSL-сертификата cdnjs.cloudflare.com. Это может вызвать предупреждения браузера и снизить доверие пользователей.
Техническая информация:
- Ожидаемое CN: example.com
- Фактическое CN: cdnjs.cloudflare.com
- Тип проблемы: Mismatch в сертификате
Потенциальные последствия:
- Предупреждения браузера о небезопасном соединении
- Снижение доверия пользователей к сайту
- Возможные проблемы с SEO и индексацией
- Блокирование доступа некоторыми браузерами
Решение:
- Получить корректный SSL-сертификат для домена example.com
- Обновить конфигурацию Cloudflare для использования правильного сертификата
- Проверить настройки DNS и проксирования в панели управления Cloudflare
- Пересоздать правило маршрутизации с корректным CN
Технические параметры сканирования
Параметры командной строки Nikto:
nikto -h https://example.com -ssl -o https_scan.html -F html
Статистика по категориям:
| Категория | Количество | Статус |
|---|---|---|
| Проверенные элементы | 6,544 | ✓ |
| Ошибки сканирования | 0 | ✓ |
| Выявленные проблемы | 3 | ⚠ |
| Критические уязвимости | 0 | ✓ |
| Средний риск | 2 | ⚠ |
| Низкий риск | 1 | ℹ |
План устранения проблем
Немедленные действия (1-3 дня)
- Настроить заголовок X-Frame-Options в конфигурации веб-сервера (Nginx/LiteSpeed):
- Добавить
add_header X-Frame-Options "DENY" - Провести тестирование на staging
- Развернуть на production
- Добавить
- Связаться с технической поддержкой Cloudflare по вопросу SSL-сертификата
Краткосрочные действия (1-2 недели)
- Получить и установить корректный SSL-сертификат:
- Создать CSR для example.com
- Установить сертификат через Cloudflare SSL/TLS
- Провести проверку браузером
- Внедрить дополнительные заголовки безопасности:
X-Content-Type-Options: nosniffX-XSS-Protection: 1; mode=blockStrict-Transport-Security: max-age=31536000
- Провести повторное сканирование Nikto для проверки исправлений
Долгосрочные действия (1 месяц+)
- Разработать политику регулярного сканирования безопасности (ежемесячно)
- Внедрить систему мониторинга безопасности для отслеживания новых уязвимостей
- Обучение команды лучшим практикам веб-безопасности и конфигурации заголовков
- Автоматизация проверок безопасности в CI/CD pipeline
Рекомендации по дополнительным мерам
Внедрение Content Security Policy (CSP)
add_header Content-Security-Policy " default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests;" always;
Все рекомендуемые заголовки безопасности:
add_header X-Frame-Options "DENY" always; add_header X-Content-Type-Options "nosniff" always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Заключение
Проведенное сканирование безопасности веб-сайта example.com выявило 3 проблемы средней и низкой критичности. Несмотря на отсутствие критических уязвимостей, рекомендуется устранить выявленные проблемы для повышения общего уровня безопасности.
Особое внимание следует уделить:
- Настройке заголовка X-Frame-Options - для защиты от clickjacking
- Исправлению SSL-сертификата - для обеспечения доверия пользователей
- Внедрению дополнительных заголовков безопасности - для комплексной защиты
Рекомендация: Следующее сканирование провести через 1-2 недели после внедрения исправлений для подтверждения их эффективности.
Частота проверок: Ежемесячное сканирование безопасности с использованием Nikto
Отчет создан на основе Nikto 2.1.5 сканирования безопасности.
Дата проведения: 13 января 2026
© 2008 CIRT, Inc.