Weboldal keresés

InsecRes – Eszköz a nem biztonságos erőforrások megtalálásához HTTPS-webhelyeken


Miután átváltotta webhelyét HTTPS-re, valószínűleg szeretné tesztelni, hogy az olyan erőforrások, mint a képek, diák, beágyazott videók és egyebek megfelelően mutatnak-e HTTPS-protokollra, vagy figyelmeztetéseket jelenítenek-e meg az oldalakon lévő nem biztonságos tartalomra vonatkozóan. Némi kutatás után találtam egy hasznos eszközt erre a célra, az úgynevezett insecuRes-t.

Az InsecuRes egy kicsi, ingyenes és nyílt forráskódú, parancssori alapú eszköz a nem biztonságos erőforrások megtalálásához HTTPS-webhelyeken, Go programozási nyelven. A „többszálas” (gorutinok) erejét használja fel a webhelyoldalak feltérképezésére és elemzésére.

Olvassa el még: HTTP átirányítása HTTPS-re az Apache-on

Párhuzamosan feltérképezi a webhely összes oldalát, átvizsgálja és elkapja: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE és TRACK erőforrásokat teljes HTTP (nem biztonságos) URL-lel. A webszerver feketelistájának megakadályozása érdekében véletlenszerű késleltetést alkalmaz a kérések között. Ezenkívül a kimenetét átirányíthatja egy CSV-fájlba későbbi elemzés céljából.

Követelmények

  1. Telepítse a Go programozási nyelvet Linuxra

Telepítse az InsecuRes programot Linux rendszereken

Miután a Go Programming Language telepítve van a rendszeren, futtassa az alábbi parancsot a terminálon, hogy megkapja az insecres-t.

go get github.com/kkomelin/insecres

Miután letöltötte és telepítette az insecre-t, futtassa az alábbi parancsot a nem biztonságos erőforrások kereséséhez a webhelyen. Ha nem mutat kimenetet, az valószínűleg azt jelenti, hogy nincsenek nem biztonságos erőforrások a webhelyen.

$GOPATH/bin/insecres https://example.com

Ha a kimenetet CSV-fájlba szeretné menteni későbbi vizsgálat céljából, használja a -f jelzőt.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Kijelző használati útmutatója.

$GOPATH/bin/insecres -h

A hozzáadandó szolgáltatások közé tartozik a megjelenített eredményszámlálók, valamint az egyszerű regex-elemzés és a tokenizált elemzés teljesítményének összehasonlítása.

InsecRes Github adattár: https://github.com/kkomelin/insecres

Ebben a cikkben megmutattuk, hogyan találhat meg nem biztonságos erőforrásokat HTTPS-webhelyeken az insecres nevű egyszerű parancssori eszköz segítségével. Kérdéseket tehet fel, vagy megoszthatja gondolatait az alábbi megjegyzés részben. Ha tudsz hasonló eszközöket, oszd meg velük is az információkat.