Wyszukiwanie w witrynie

InsecRes — narzędzie do wyszukiwania niezabezpieczonych zasobów w witrynach HTTPS


Po przejściu witryny na HTTPS prawdopodobnie chcesz sprawdzić, czy zasoby takie jak obrazy, slajdy, osadzone filmy i inne są prawidłowo kierowane do protokołu HTTPS lub wyświetlają ostrzeżenia o niebezpiecznych treściach na stronach. Po kilku poszukiwaniach znalazłem przydatne do tego narzędzie o nazwie insecuRes.

InsecuRes to małe, bezpłatne narzędzie typu open source, oparte na wierszu poleceń, służące do wyszukiwania niezabezpieczonych zasobów w witrynach HTTPS, napisane w języku programowania Go. Wykorzystuje moc „wielowątkowości” (goroutines) do indeksowania i analizowania stron witryny.

Przeczytaj także: Jak przekierować HTTP na HTTPS na Apache

Równolegle indeksuje wszystkie strony Twojej witryny, skanuje i przechwytuje: zasoby IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE i TRACK z pełnymi (niepewnymi) adresami URL HTTP. Aby zapobiec umieszczaniu na czarnej liście przez serwer WWW, stosuje on losowe opóźnienie pomiędzy żądaniami. Dodatkowo możesz przekierować jego dane wyjściowe do pliku CSV w celu późniejszej analizy.

Wymagania

  1. Zainstaluj język programowania Go w systemie Linux

Zainstaluj InsecuRes w systemach Linux

Po zainstalowaniu w systemie języka Go Programming Language uruchom poniższe polecenie na terminalu, aby uzyskać insecres.

go get github.com/kkomelin/insecres

Po pobraniu i zainstalowaniu insecres uruchom poniższe polecenie, aby przeskanować witrynę w poszukiwaniu niezabezpieczonych zasobów. Jeśli nie wyświetla żadnych danych wyjściowych, prawdopodobnie oznacza to, że w Twojej witrynie nie ma żadnych niezabezpieczonych zasobów.

$GOPATH/bin/insecres https://example.com

Aby zapisać wynik w pliku CSV do późniejszego sprawdzenia, użyj flagi -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Wyświetl instrukcję użytkowania.

$GOPATH/bin/insecres -h

Niektóre z funkcji, które zostaną dodane, obejmują liczniki wyników wyświetlania i porównywanie wydajności prostego analizowania wyrażeń regularnych i analizowania tokenizowanego.

Repozytorium InsecRes Github: https://github.com/kkomelin/insecres

W tym artykule pokazaliśmy, jak znaleźć niezabezpieczone zasoby w witrynach HTTPS za pomocą prostego narzędzia wiersza poleceń o nazwie insecres. Możesz zadawać pytania lub dzielić się swoimi przemyśleniami w sekcji komentarzy poniżej. Jeśli znasz jakieś podobne narzędzia, udostępnij również informacje na ich temat.