Leuk, niemand kent dit en zal er geen gebruik van maken.

Bedankt voor de info, maar heel weinig mensen zullen hier een reactie geven.

"...kan straks iedereen de vraag beantwoorden hoe veilig de websites zijn die ze bezoeken."

Lees ik hier dat een potentiele cyberboef alleen maar naar Punkspider hoeft te gaan om daar het lijstje op te halen van kwetsbare sites?

Het geeft ook een trip rapport over hoeveel sites je bezocht hebt met SQLI, TRAV, XPATH en/of XSS kwetsbaarheden.

Maar het geeft bijvoorbeeld niet aan dat er widget.trustpilot.com op de site staat en widget.intercom.io.

En niet, dat blokkeerders 27% tracking en 18% advertenties hebben geblokkeerd.
Niet dat er directive en object errors staan bij CSP, niet wat de problemen zijn met d1lr4y73.neawid.cloudfront
en dat er getrackt wordt via Google GTM en Google Analytics.

Het geeft direct een overzicht, maar minder als de publieke data via shodan.io bijvoorbeeld, niettemin handig,

luntrus

Klopt helemaal.
Als dat de eigenaar van de site niet motiveert om de crap-implementatie aan te passen. .....

Lijkt mij computervredebreuk? Hoe zit dat @Arnoud Engelfriet? Dit mag toch niet zonder expliciet toestemming te geven voor de scan?

Raar, het eerste wat ik deed wat even kijken of het al online was. Jammergenoeg niet, ik had het graag willen gebruiken. Nu al. Naja nog maar even wachten tot het weer draait.

Dit lijkt mij een bijzonder slecht idee. Shodan heb ik ook mijn bedenkingen bij. De kennis benodigd voor cybercrime neemt al steeds meer af, dus zaken nemen toe. Opsporingscapacitiet en middelen zijn beperkt. De eindgebruiker is de dupe omdat schade doorberekend zal worden, hun data op straat beland of een dienst niet langer beschikbaar is door faillisement.

Straks zeker weer huilen dat er opeens allemaal ransomware infecties zijn. Beheerders gaan hier echt niet opeens beter van werken, zeker niet in de derdewereld. Daar zit je dan straks met een enorm botnet probleem.

Zie ook dit artiekl op Wired: https://www.wired.com/story/punkspider-web-site-vulnerabilities/

Huilie, huilie en paard achter de wagen spannen.

Waar reactant van 5:42 voor pleit is voortzetten van het "security through obscurity" principe van beveiliging.
Wat niet weet wat niet deert en hopen dat jouw slecht en onveilig ontworpen site niet gescand wordt.
Onwetendheid is een zegen volgens deze reactant.

Door allerlei basale onveiligheid in je website te laten zitten, breng je niet alleen jezelf in gevaar, maar ook anderen.
Door website developers niet voldoende te trainen op het voorkomen van deze kwetsbaarheden, gaat het juist fout.

We hebben het te danken aan grote partijen, die bepaalde kennis juist weg willen houden zodat ze technologisch en vooral via ad- en tracking voordeel kunnen blijven houden. Mensen moeten vooral niet leren hoe hun verdienmodel te frustreren.

Dan scannen verbieden onder het mom van computervredebreuk is een weg die nooit tot oplossingen van het probleem leidt.

De onveilige bibliotheken worden niet afgevoerd, de CMS software wordt niet van updates en patches voorzien.
Geen juiste beveiliging van website naar achterliggende webserver, CSP, soms http downgrade aanvallen mogelijk, SSL issues enz. enz.

Moeten we scannen verbieden, bijvoorbeeld op webhint, omdat er te veel domme arrogante lieden op de werkvloer rondlopen, getrainde aapjes zogezegd. Neem wat extra error-hunters in dienst met oog voor de website security noden.

De cybercrimneel komt toch wel aan z'n informatie. Beter ware het, dat de manager eens oog kreeg voor een beter beveiligingsniveau, anders betalen we met z'n allen de prijs en steeds opnieuw, doordat altijd veiligheid sluitpost op de begroting blijft, want de rekening voor ons allen zit altijd onder in de zak.

#sockpuppet

De volgende extenties zijn niet lager in overeenstemming met de policies van de Chrome Webstore:
Cookie Cruncher, Javascript Errors Notifier en Vulners Web Scanner.

Doorlopen mensen, niets te zien hier.

Willekeurig voorbeeld van een of andere website:

#sockpuppet

Zelf geeft punkspider wel het goede voorbeeld, zie:
https://awesometechstack.com/analysis/website/punkspider.io/?protocol=https%3A

luntrus