Сканирование уязвимостей нельзя путать с пентестом. Сканер — это автоматический инструмент, который ищет уже известные уязвимости и выдаёт отчёт. Пентестер же ищет неизвестные, креативные дефекты. Они не заменяют друг друга, а дополняют. В хорошей стратегии безопасности применяется еженедельное автоматическое сканирование плюс пентест дважды в год.
Network и web application сканеры
Сканеры уязвимостей делятся на две большие группы. Network scanner проверяет всю сеть, открытые порты, устаревшие версии и неверно настроенные сервисы. Web application scanner работает напрямую с сайтами: ищет SQL injection, XSS, CSRF и другие уязвимости OWASP. В корпоративной среде нужны оба типа, потому что они закрывают разные слои.
Nessus — отраслевой стандарт
Продукт Nessus от Tenable — самый популярный сканер уязвимостей. Он содержит более 100 тысяч плагинов, обновляется почти ежедневно и полностью синхронизирован с базой MITRE CVE. Лицензия Nessus Professional стоит около 3990 долларов в год — заметные расходы для малого бизнеса. Nessus Essentials — бесплатная версия, но покрывает только 16 IP-адресов.
Acunetix и Invicti
В области web application scanning лидируют Acunetix и Invicti (бывший Netsparker). Acunetix через технологию DeepScan корректно анализирует даже JavaScript-тяжёлые SPA-сайты. Invicti использует подход proof-based scanning — каждая найденная уязвимость подтверждается на практике, минимизируя false positive. Оба инструмента стартуют от 6 тысяч долларов в год.
OpenVAS — open source альтернатива
Для команд с ограниченным бюджетом OpenVAS (сейчас Greenbone Vulnerability Manager) — лучший выбор. Полностью open source, бесплатный и функционально не уступает Nessus. Содержит более 80 тысяч тестов, обновляется ежедневно. Sayt.uz использует OpenVAS во внутренних аудитах.
Борьба с false positive
Главная проблема любого автоматического сканера — false positive, то есть несуществующие уязвимости. Начинающий специалист может утонуть в тысячах ложных срабатываний. Решение — ручная проверка результатов, установка baseline и настройка под своё окружение. Sayt.uz фильтрует отчёты для клиента и показывает только реальные находки.
Практика Sayt.uz
Sayt.uz проводит еженедельный автоматический скан для каждого сайта клиента, критичные находки сразу показываются в кабинете. На Premium-тарифе доступны ежедневный скан и глубокий аудит на базе Nessus Professional. Скан включён бесплатно в Premium, отдельной услугой — от 180 тысяч сум в месяц. По данным 2026 года, наши сканеры нашли у клиентов 12 480 уязвимостей, из них 92 процента закрыты за 30 дней.