Конфигурационный аудит сайта с Termux на Android за 15 минут: curl, SSL и dig без root-доступа
Для аудита используются базовые консольные инструменты: curl для HTTP-ответов, openssl s_client для TLS-соединения, dig для DNS-записей и /dev/tcp для быстрой проверки портов без nmap. В примере проверяется поддомен Netlify adorable-dodol-5ab32d.netlify.app, а ручная процедура занимает около 15 минут; при автоматизации путь от проверки до PDF-отчёта можно сократить до 2–3 минут.
По HTTP Security Headers у цели включён HSTS на год с includeSubDomains и preload, но отсутствуют CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy. Это даёт набор внешне видимых рисков: внедрение сторонних скриптов при отсутствии CSP, clickjacking без защиты от iframe, MIME-sniffing без nosniff, утечки URL-параметров без Referrer-Policy и лишние разрешения браузерных API без Permissions-Policy.
TLS-проверка показывает отказ от слабых шифров RC4 и 3DES, наличие доверенного сертификата и срок действия до 19 марта 2027 года. DNS-блок разбирает SPF, DKIM и DMARC как общие правила для собственных доменов, а проверка портов отделяет нормальные сценарии вроде 80 с редиректом на 443 и 443 для HTTPS от рискованных открытых FTP, MySQL или PostgreSQL.
Коротко
- Аудит ограничен публичными HTTP-ответами, TLS/SSL, DNS-записями и портами; эксплуатация уязвимостей и нагрузка на сервер не используются.
- На Android через Termux достаточно curl, openssl s_client, dig и /dev/tcp: root-доступ и полноценный сканер вроде nmap не обязательны.
- В примере HSTS настроен корректно: max-age на год, includeSubDomains и preload; слабые шифры RC4 и 3DES сервер не принимает.
- Основные находки по HTTP-заголовкам: нет CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy.
- Для почтовой защиты разбираются SPF, DKIM и DMARC, но для поддомена на внешней платформе эти проверки не дают полноценной картины.
FAQ
Зачем делать конфигурационный аудит сайта через Termux, если нет доступа к серверу и нельзя активно тестировать уязвимости?
Так можно быстро увидеть внешние ошибки настройки: отсутствующие security headers, проблемы TLS, слабые DNS-политики и неожиданные открытые порты. Это не заменяет полноценный pentest, но помогает найти базовые риски без вмешательства в сервер.
Какие настройки в примере оказались самыми заметными проблемами внешней конфигурации сайта после проверки HTTP-заголовков?
У цели отсутствовали CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy. HSTS при этом был включён с max-age на год, includeSubDomains и preload.
Почему проверка DNS, SPF, DKIM и DMARC не всегда применима к поддоменам на внешних платформах вроде Netlify?
Для корректной оценки почтовой защиты нужен собственный домен и знание настроек, включая DKIM-селектор. Поддомен на внешней платформе не показывает всю конфигурацию владельца.
Читайте также
- Быстрый внешний конфигурационный аудит без доступа к серверу: Первичный аудит сайта можно проводить только по публично доступным данным: HTTP-ответам, TLS/SSL, DNS-записям и открытым портам. Такой подход не требует аутентификации, не эксплуатирует уязвимости и подходит для быстрой проверки собственных доменов или партнёрских страниц при наличии разрешения владельца.
[Security / External Audit]
Зарегистрированные пользователи видят только два тезиса.
Зарегистрироваться
Короткий практический разбор показывает, как за 10–15 минут проверить внешнюю конфигурацию сайта с Android через Termux: HTTP-заголовки, TLS/SSL, DNS и открытые порты. Проверка идёт только по публичным данным, без взлома, root-доступа, аутентификации и нагрузки на сервер.