InsecRes - Un instrument pentru a găsi resurse nesigure pe site-urile HTTPS

După trecerea site-ului dvs. la HTTPS, probabil că doriți să testați dacă resurse precum imagini, diapozitive, videoclipuri încorporate și altele, sunt corect direcționate către protocolul HTTPS sau dacă afișează avertismente despre conținutul nesecurizat de pe pagini. După câteva cercetări am găsit un instrument util în acest scop, numit insecuRes.

InsecuRes este un instrument mic, gratuit și deschis, bazat pe linie de comandă, pentru găsirea de resurse nesigure pe site-uri HTTPS, scris în limbajul de programare Go. Utilizează puterea „multi-threading” (goroutine) pentru a accesa cu crawlere și a analiza paginile site-ului.

Citiți și: Cum să redirecționați HTTP către HTTPS pe Apache

Acesta accesează cu crawlere toate paginile site-ului dvs. în paralel, scanează și captează: resurse IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE și TRACK cu URL-uri HTTP complete (nesigure). Pentru a preveni lista neagră de către serverul web, acesta folosește o întârziere aleatorie între cereri. În plus, puteți redirecționa rezultatul său către un fișier CSV pentru o analiză ulterioară.

Cerințe

  1. Instalați limbajul de programare Go în Linux

Instalați InsecuRes în sistemele Linux

Odată ce Go Programming Language este instalat pe sistem, rulați comanda de mai jos pe terminal pentru a obține insecres.

go get github.com/kkomelin/insecres

După ce ați descărcat și instalat insecres, rulați comanda de mai jos pentru a vă scana site-ul pentru resurse nesigure. Dacă nu arată nicio ieșire, asta înseamnă probabil că nu există resurse nesigure pe site-ul dvs.

$GOPATH/bin/insecres https://example.com

Pentru a salva rezultatul într-un fișier CSV pentru o examinare ulterioară, utilizați indicatorul -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Afișează ghidul de utilizare.

$GOPATH/bin/insecres -h

Unele dintre caracteristicile care urmează să fie adăugate includ afișarea contoarelor de rezultate și compararea performanței parsării simple regex și a analizei tokenizate.

Depozitul InsecRes Github: https://github.com/kkomelin/insecres

În acest articol, v-am arătat cum să găsiți resurse nesigure pe site-urile HTTPS, folosind un instrument simplu de linie de comandă numit insecres. Puteți pune întrebări sau vă puteți împărtăși gândurile prin secțiunea de comentarii de mai jos. Dacă cunoașteți instrumente similare, împărtășiți și informații despre ele.