Конфигурационный аудит веб-сайта с Termux на android за 15 минут. curl, ssl, dig — без взлома и без root

Что можно найти снаружи, не имея доступа к серверу

1. Что такое конфигурационный аудит

Анализ публично доступных HTTP-ответов и DNS-записей без аутентификации и активного вмешательства. Проверке подвергается только внешняя конфигурация: HTTP-заголовки, TLS/SSL, DNS, открытые порты.

Уязвимости не эксплуатируются, нагрузки на сервер нет.

2. Инструменты

curl — ответ HTTP сервера.
openssl s_client — проверка TLS-соединения.
dig — чтение DNS-записей домена.
/dev/tcp — выявление открытых портов без nmap

Всё это доступно на android через Termux, без root.

3. Объект и метод

Домен: любой, главное — разрешение владельца на аудит. В качестве цели взят продукт ИИ-генерации, поддомен Nellify — adorable-dodol-5ab32d.netlify.app ^[1]

Время: ~15 минут. С скриптом автоматизации сокращается до 2-3 минут от проверки до формирования PDF-отчёта.

Метод: только публично доступные данные, без аутентификации и нагрузки на сервер.

4. HTTP Security Headers — что нашёл

Команда:

curl -s -D - adorable-dodol-5ab32d.netlify.app -o /dev/null | grep -i "security|frame|content-type|referrer|permissions"

Вывод:

content-type: text/html; charset=UTF-8
strict-transport-security: max-age=31536000; includeSubDomains; preload

Конкретные выводы и их значение:

content-type: text/html — заголовок параметров сервера, к безопасности не относится.

**charset=UTF-8 strict-tranport-security**: max-age=31536000 — HSTS (см.ниже*) включён, память браузера об обязательном https соединении на 1 год

includeSubDomains — протокол HSTS распространяется на поддомены
preload — домен включен в предзагруженный в браузер список доменов с HSTS, т.е. HSTS стоит "по умолчанию".

HSTS (Strict-Tranport-Security) — инструкция для браузера всегда использовать https, даже при ручном вводе http://.../. Обеспечивает защиту от MITM атак.

Минимум для безопасности: max-age=31536000, для максимума добавить: includeSubDomains; preload

CSP (Content Security Policy) — белый список разрешённых источников для скриптов, изображений и т.п.

Без этого протокола возможно внедрение скрипта с любого домена — браузер выполнит. В целевом домене отсутствует — уязвимость.
Защита:

content-security-policy: default-src 'self'; script-src 'self'

Формальная защита (практически — бесполезная):
content-security-policy: default-src ( — разрешены все источники)

content-security-policy: script-src 'unsafe-inline' (unsafe-inline — встроенные скрипты разрешены).

X-Frame-Options — запрет встраивать страницу в iframe на чужом сайте. (iframe — HTML-элемент, окно внутри страницы, демонстрирующее другую страницу, например встроенное видео из YouTube или Google Map).

Без него возможен clickjacking — атака через iframe, основанная на взаимодействии с вредоносным скриптом, скрытым содержанием целевого сайта в окне iframe. В целевом домене отсутствует — уязвимость.
Защита:
x-frame-options: DENY (запрещено всем) или x-frame-options: SAMEORIGIN (разрешение только для своего домена).

X-Content-Type-Options — запрет браузеру угадывать тип файла. Без него браузер может интерпретировать content-type по-своему, что потенциально используется для использования вредоносных файлов как скриптов. Отсутствует — уязвимость.

Защита:
x-content-type-options: nosniff (nosniff — принудительное соблюдение content-type)

Referrer-Policy — контроль содержания отправляемых браузером данных по ссылке домена. Без него URL с токеном/эндпойнтом (адресом: https://.../path?options=secret_token) утекает на следующий сайт. Отсутствует — уязвимость.

Защита:
referrer-policy: strict-origin-when-cross-origin (cross-origin — передача источника без пути и параметров: https://.../). При настройке same-origin передаётся полный URL, включая путь и параметры: https://.../path?options=secret_token (уязвимость). При понижении c https на http с активным referrer-policy referrer не будет отправлен.

Permissions-Policy — список браузерных API (разрешений), использование которых допускается сайтом. Без него встроенный iframe может запросить доступ к камере/микрофону/геолокации пользователя. Отсутствует — уязвимость.

Защита:

permissions-policy: camera (), microphone (), geolocation ()

Пустые скобки — запрещено всем.

5. TLS — что нашёл

Протокол и шифр

Forward Secrecy — генерация уникального ключа для каждой TLS-сессии, который нигде не хранится. Перехваченный в прошлом трафик не будет расшифрован при наличии ключа. Сигнал наличия — ECDHE или DHE в названии шифра. В данном выводе включён по умолчанию в TLSv.1.3. через шифр TLS_AES.

Слабые шифры

Команда:

echo | openssl s_client -connect adorable-dodol-5ab32d.netlify.app:443 -cipher RC4 2>/dev/null | grep Cipher

echo | openssl s_client -connect adorable-dodol-5ab32d.netlify.app:443 -cipher 3DES 2>/dev/null | grep Cipher

Пустой вывод — отказ сервера использовать слабые шифры RC4 и 3DES

Срок сертификата

Команда:

echo | openssl s_client -connect adorable-dodol-5ab32d.netlify.app:443 -servername adorable-dodol-5ab32d.netlify.app 2>/dev/null | openssl x509 -noout -dates

Вывод:

notBefore=Feb 16 00:00:00 2026 GMT
notAfter=Mar 19 23:59:59 2027 GMT

Конкретные выводы и их значение:
notAfter — дата истечения срока сертификата, если дата notAfter в прошлом — уязвимость.

Самоподписанный сертификат

Команда:

echo | openssl s_client -connect adorable-dodol-5ab32d.netlify.app:443 -servername adorable-dodol-5ab32d.netlify.app 2>/dev/null | grep -i "self signed|verify error"

Пустой вывод — сертификат выдан доверенным центром (Let's Encrypt, DigiCert и др.)
Если вывод: verify error:num=18:self signed certificate — уязвимость.

6. DNS/Почта

Досупны только для собственных доменов, использование поддоменов не обеспечивает конфиденциальности трафика. Для целевого домена не применимо. Рассмотрение общих правил защиты.

SPF (Sender Policy Framework) — список серверов с разрешением отправлять почту от имени домена.

Команда:

dig +short TXT example.com

Вывод и его значение:
v=spf1 — версия
-all — reject (жёстко)*
~all — softfail (мягко)
?all — neutral (слабо)
+all — accept all (опасно)
Нет вывода — SPF не настроен

*при отсутствии перечисления серверов домен не используется для рассылки почты, корректная настройка для непочтового домена.

DKIM (DomainKeys Identified Mail) — цифровая подпись исходящих писем, проверка получателем подписи через DNS.

Команда:

dig +short TXT селектор._domainkey.example.com

Важно. Селектор — произвольное имя, выбранное владельцем домена при настройке DKIM. Для аудита нужно знать точное имя селектора. Если оно неизвестно, достоверно установить наличие DKIM не выйдет.

Вывод:
Найден — порядок.
Не найден — отсутствует или неверно указан селектор.

DMARC (Domain-based Message Authentication, Reporting and Conformance) — политика для писем, не прошедших SPF или DKIM.

Команда:

dig +short TXT _dmarc.example.com

Вывод и его значения:
p=none — только отчёты. Слабо.
p=quarantine — в спам. Приемлемо.
p=reject — отклонить. Защита.
Пустой вывод — DMARC не настроен.

Дополнительно:
adkim=s / aspf=s — (s — strict) требует строгого совпадения домена, поддомены не принимаются. Максимум контроля.
adkim=r / aspf=r (r — relaxed) мягкое, допускает совпадение по организационному домену, допускает поддомены. Риск обхода через поддомены.
sp=reject — защита поддоменов без собственного DMARC.

adkim — для DKIM.
aspf — для SPF.

7. Порты

Команда:

timeout 5 bash -c "echo >/dev/tcp/adorable-dodol-5ab32d.netlify.app/порт" 2>/dev/null && echo "открыт" || echo "закрыт"

Вывод и его значение:

Проверка редиректа с 80 на 443:

curl -sI http://adorable-dodol-5ab32d.netlify.app | grep -i "location|301|302"

Вывод:
HTTP/1.1 301/302 — норма.
Нет — уязвимость.

8. Вывод

Уязвимости, выявленные аудитом за 10-15 минут без доступа к серверу: