Kompletní pokrytí auditu

Všechno, co kontrolujeme — všech 22.

Jedna URL. Žádná instalace. NullShield spustí každou kontrolu níže proti vašemu živému webu a pak vám ukáže výsledek každé z nich — včetně těch, které už zvládáte. Tohle je celá metodika, otevřeně.

Deterministické a namapované na OWASP Top 10:2025 — stejný web dostane pokaždé stejnou známku.

Zabezpečení přenosu

4 kontrol

Jak je provoz na váš web šifrovaný a chráněný při přenosu.

TLS / SSL certifikát

Co kontrolujeme: Otevřeme živé HTTPS spojení a prověříme certifikát — platnost, vydavatele a datum expirace.

Proč na tom záleží: Neplatný, expirovaný nebo nedůvěryhodný certifikát způsobí, že prohlížeče návštěvníky varují, a okamžitě boří důvěru.

Verze protokolu TLS

Co kontrolujeme: Aktivně testujeme, zda server stále akceptuje zastaralé protokoly TLS 1.0 a TLS 1.1.

Proč na tom záleží: Staré verze TLS mají známé slabiny a neprojdou moderní compliance (PCI DSS, základní hardening).

Síla HSTS

Co kontrolujeme: Pokud je hlavička HTTP Strict Transport Security přítomná, hodnotíme její max-age, includeSubDomains a připravenost na preload.

Proč na tom záleží: Slabá HSTS politika nechává otevřené okno pro downgrade útok a krádež cookies při první návštěvě.

Přesměrování na HTTPS

Co kontrolujeme: Vyžádáme si HTTP verzi webu a ověříme, že vynutí přechod na HTTPS.

Proč na tom záleží: Bez přesměrování mohou návštěvníci i vyhledávače skončit na nešifrované verzi webu.

Bezpečnostní hlavičky

2 kontrol

HTTP hlavičky, které prohlížeči říkají, jak chránit vaše návštěvníky.

HTTP bezpečnostní hlavičky

Co kontrolujeme: Kontrolujeme kompletní sadu ochranných hlaviček — HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy a hlavičky cross-origin izolace.

Proč na tom záleží: Tyto hlavičky jsou nejlevnější obrana s nejvyšším dopadem proti clickjackingu, MIME sniffingu a úniku dat.

Content Security Policy

Co kontrolujeme: Pokud je CSP nastavená, hodnotíme její kvalitu — unsafe-inline, unsafe-eval, zástupné zdroje a chybějící direktivy.

Proč na tom záleží: Volná CSP dává falešný pocit bezpečí; přísná je tou nejlepší obranou proti cross-site scriptingu (XSS).

Cookies a relace

1 kontrol

Zda jsou cookies, které váš web nastavuje, chráněné proti krádeži a zneužití.

Atributy cookies

Co kontrolujeme: Prověříme každou cookie, kterou web nastavuje, na atributy Secure, HttpOnly a SameSite.

Proč na tom záleží: Relační cookies bez těchto atributů lze ukrást přes síť nebo škodlivým skriptem a unést tak účet.

Integrita frontendu a obsahu

4 kontrol

Skripty, knihovny a HTML, které se servírují do prohlížečů návštěvníků.

Obsah stránky a formuláře

Co kontrolujeme: Analyzujeme vykreslené HTML na smíšený (HTTP) obsah a formuláře odesílané bez ochrany proti CSRF.

Proč na tom záleží: Smíšený obsah tiše narušuje šifrování a nechráněné formuláře zvou cross-site request forgery.

Subresource Integrity

Co kontrolujeme: Vypíšeme skripty a styly třetích stran načítané bez integritního (SRI) hashe.

Proč na tom záleží: Pokud je CDN, na kterém závisíte, kompromitované, právě SRI zabrání spuštění útočníkova kódu na vašem webu.

Odhalené source mapy

Co kontrolujeme: Testujeme, zda jsou vaše JavaScriptové source mapy veřejně dostupné.

Proč na tom záleží: Zveřejněné source mapy předají útočníkovi váš původní, komentovaný zdrojový kód — včetně logiky, kterou jste chtěli skrýt.

Zastaralé JavaScriptové knihovny

Co kontrolujeme: Identifikujeme frontendové knihovny a označíme verze po konci podpory (staré jQuery, Bootstrap, AngularJS, Moment.js).

Proč na tom záleží: Neudržované knihovny hromadí veřejné, nezáplatované zranitelnosti, které boti aktivně vyhledávají.

Únik citlivých dat a informací

4 kontrol

Soubory, cesty a chybové hlášky, které by veřejnost nikdy neměla vidět.

Odhalené citlivé cesty

Co kontrolujeme: Bezpečně testujeme dvě desítky rizikových cest — .env, .git, konfigurační soubory, úložiště přihlašovacích údajů a admin panely.

Proč na tom záleží: Jediný dostupný .env nebo adresář .git může vyzradit hesla k databázi, API klíče a celý váš kód.

Výpis adresářů

Co kontrolujeme: Kontrolujeme běžné složky na automaticky generované index stránky, které odhalují jejich obsah.

Proč na tom záleží: Otevřený výpis adresářů umožní komukoli procházet a stahovat soubory, které jste nikdy nechtěli zveřejnit.

Únik chyb a ladicích informací

Co kontrolujeme: Vyvoláme chybový stav a hledáme stack trace a ladicí výstup z ASP.NET, PHP, Pythonu nebo databáze.

Proč na tom záleží: Podrobné chyby předají útočníkovi váš framework, cesty k souborům a dotazy — návod pro další útok.

Únik verzí a bannerů

Co kontrolujeme: Čteme identifikační hlavičky (Server, X-Powered-By, X-AspNet-Version) na názvy softwaru a čísla verzí.

Proč na tom záleží: Vystavení přesných verzí umožní útočníkovi během vteřin spárovat váš stack se známými exploity.

Konfigurace serveru a API

4 kontrol

Jak váš server odpovídá na požadavky a co o sobě prozrazuje.

HTTP metody

Co kontrolujeme: Prověříme, které metody server nabízí, a otestujeme nebezpečnou metodu TRACE.

Proč na tom záleží: Nebezpečné metody a TRACE umožňují cross-site tracing a nechtěné zápisy do vaší aplikace.

Soubory cross-domain politiky

Co kontrolujeme: Kontrolujeme příliš volné soubory crossdomain.xml a clientaccesspolicy.xml.

Proč na tom záleží: Zástupná cross-domain politika umožní kódu cizích webů číst odpovědi určené jen vašim uživatelům.

Konfigurace CORS

Co kontrolujeme: Testujeme vaši CORS politiku na zástupné origin, odrážené origin a přístup s přihlašovacími údaji.

Proč na tom záleží: Špatně nastavená CORS politika může umožnit jakémukoli webu číst vaše autentizované API odpovědi jménem návštěvníka.

GraphQL introspekce

Co kontrolujeme: Testujeme běžné GraphQL endpointy, zda je introspekce schématu veřejně přístupná.

Proč na tom záleží: Otevřená introspekce zmapuje celé vaše API — každý typ, pole i mutaci — útočníkovi ke studiu.

E-mail a doména (DNS)

1 kontrol

DNS záznamy, které brání podvržení vaší domény a falšování vašich e-mailů.

E-mailové a DNS záznamy

Co kontrolujeme: Resolvujeme DNS záznamy domény — SPF, DKIM, DMARC, DNSSEC a CAA.

Proč na tom záleží: Chybějící SPF/DKIM/DMARC znamená, že kdokoli může poslat e-mail, který vypadá, že přišel z vaší domény.

Hygiena zveřejňování

2 kontrol

Malé očekávané soubory, které signalizují, že je web profesionálně spravovaný.

robots.txt

Co kontrolujeme: Načteme robots.txt a zkontrolujeme, zda je přítomný a omylem neprozrazuje citlivé cesty.

Proč na tom záleží: Rozumný robots.txt navádí vyhledávače; nedbalý může vystavit přesně ty cesty, které jste chtěli skrýt.

security.txt

Co kontrolujeme: Hledáme /.well-known/security.txt s platnými poli Contact a Expires (RFC 9116).

Proč na tom záleží: security.txt dává výzkumníkům způsob, jak vám nahlásit zranitelnost, místo aby ji zveřejnili.

Mějte vlastní report do 60 vteřin.

Každá kontrola výše, spuštěná proti vašemu webu, s přesnou opravou pro vše, co selže — a opakovaný sken za 14 dní, který dokáže zlepšení.

Naskenovat můj web — $49/měs

Zrušení dvěma kliknutími · bez závazku