Vyhledávání na webu

InsecRes – nástroj k nalezení nezabezpečených zdrojů na stránkách HTTPS

Po přepnutí webu na HTTPS budete pravděpodobně chtít otestovat, zda zdroje, jako jsou obrázky, snímky, vložená videa a další, jsou správně nasměrovány na protokol HTTPS nebo zobrazují varování o nezabezpečeném obsahu na stránkách. Po nějakém výzkumu jsem našel užitečný nástroj pro tento účel, nazvaný insecuRes.

InsecuRes je malý, bezplatný a otevřený nástroj založený na příkazovém řádku pro vyhledávání nezabezpečených zdrojů na stránkách HTTPS, napsaný v programovacím jazyce Go. Využívá sílu „multi-threading“ (goroutines) k procházení a analýze stránek webu.

Přečtěte si také: Jak přesměrovat HTTP na HTTPS na Apache

Paralelně prochází všechny vaše webové stránky, skenuje a zachycuje: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE a TRACK zdroje s úplnými HTTP (nezabezpečenými) adresami URL. Aby se zabránilo umístění na černou listinu webovým serverem, používá náhodné zpoždění mezi požadavky. Navíc můžete jeho výstup přesměrovat do souboru CSV pro pozdější analýzu.

Požadavky

  1. Nainstalujte programovací jazyk Go v systému Linux

Nainstalujte InsecuRes v systémech Linux

Jakmile do systému nainstalujete Go Programming Language, spusťte na terminálu níže uvedený příkaz, abyste získali insecres.

go get github.com/kkomelin/insecres

Jakmile si stáhnete a nainstalujete insecres, spusťte níže uvedený příkaz a prohledejte svůj web, zda neobsahuje nezabezpečené zdroje. Pokud neukazuje žádný výstup, pravděpodobně to znamená, že na vašem webu nejsou žádné nezabezpečené zdroje.

$GOPATH/bin/insecres https://example.com

Chcete-li výstup uložit do souboru CSV pro pozdější zkoumání, použijte příznak -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Zobrazit návod k použití.

$GOPATH/bin/insecres -h

Některé z funkcí, které mají být přidány, zahrnují počítadla výsledků zobrazení a porovnávání výkonu jednoduché analýzy regulárních výrazů a analýzy tokenů.

Úložiště InsecRes Github: https://github.com/kkomelin/insecres

V tomto článku jsme vám ukázali, jak najít nezabezpečené zdroje na webech HTTPS pomocí jednoduchého nástroje příkazového řádku s názvem insecres. Můžete klást otázky nebo sdílet své myšlenky prostřednictvím sekce komentářů níže. Pokud znáte nějaké podobné nástroje, podělte se o ně také.