InsecRes – Eszköz a nem biztonságos erőforrások megtalálásához HTTPS-webhelyeken
Miután átváltotta webhelyét HTTPS-re, valószínűleg szeretné tesztelni, hogy az olyan erőforrások, mint a képek, diák, beágyazott videók és egyebek megfelelően mutatnak-e HTTPS-protokollra, vagy figyelmeztetéseket jelenítenek-e meg az oldalakon lévő nem biztonságos tartalomra vonatkozóan. Némi kutatás után találtam egy hasznos eszközt erre a célra, az úgynevezett insecuRes-t.
Az InsecuRes egy kicsi, ingyenes és nyílt forráskódú, parancssori alapú eszköz a nem biztonságos erőforrások megtalálásához HTTPS-webhelyeken, Go programozási nyelven. A „többszálas” (gorutinok) erejét használja fel a webhelyoldalak feltérképezésére és elemzésére.
Olvassa el még: HTTP átirányítása HTTPS-re az Apache-on
Párhuzamosan feltérképezi a webhely összes oldalát, átvizsgálja és elkapja: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE és TRACK erőforrásokat teljes HTTP (nem biztonságos) URL-lel. A webszerver feketelistájának megakadályozása érdekében véletlenszerű késleltetést alkalmaz a kérések között. Ezenkívül a kimenetét átirányíthatja egy CSV-fájlba későbbi elemzés céljából.
Követelmények
- Telepítse a Go programozási nyelvet Linuxra
Telepítse az InsecuRes programot Linux rendszereken
Miután a Go Programming Language telepítve van a rendszeren, futtassa az alábbi parancsot a terminálon, hogy megkapja az insecres-t.
go get github.com/kkomelin/insecres
Miután letöltötte és telepítette az insecre-t, futtassa az alábbi parancsot a nem biztonságos erőforrások kereséséhez a webhelyen. Ha nem mutat kimenetet, az valószínűleg azt jelenti, hogy nincsenek nem biztonságos erőforrások a webhelyen.
$GOPATH/bin/insecres https://example.com
Ha a kimenetet CSV-fájlba szeretné menteni későbbi vizsgálat céljából, használja a -f
jelzőt.
$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com
Kijelző használati útmutatója.
$GOPATH/bin/insecres -h
A hozzáadandó szolgáltatások közé tartozik a megjelenített eredményszámlálók, valamint az egyszerű regex-elemzés és a tokenizált elemzés teljesítményének összehasonlítása.
InsecRes Github adattár: https://github.com/kkomelin/insecres
Ebben a cikkben megmutattuk, hogyan találhat meg nem biztonságos erőforrásokat HTTPS-webhelyeken az insecres nevű egyszerű parancssori eszköz segítségével. Kérdéseket tehet fel, vagy megoszthatja gondolatait az alábbi megjegyzés részben. Ha tudsz hasonló eszközöket, oszd meg velük is az információkat.