InsecRes: una eina per trobar recursos insegurs en llocs HTTPS

Després de canviar el vostre lloc a HTTPS, és probable que vulgueu provar si recursos com ara imatges, diapositives, vídeos incrustats i altres s'apunten correctament al protocol HTTPS o mostren advertències sobre el contingut insegur de les pàgines. Després d'algunes investigacions vaig trobar una eina útil per a aquest propòsit, anomenada insecuRes.

InsecuRes és una eina petita, gratuïta i de codi obert basada en línia d'ordres per trobar recursos insegurs en llocs HTTPS, escrita en llenguatge de programació Go. Utilitza el poder del multi-threading (goroutines) per rastrejar i analitzar les pàgines del lloc.

Rastreja totes les pàgines del vostre lloc web en paral·lel, escaneja i captura: recursos IMG, IFRAME, OBJECT, ÀUDIO, VIDEO, SOURCE i TRACK amb URL complets HTTP (insegurs). Per evitar la llista negra pel servidor web, empra un retard aleatori entre les sol·licituds. A més, podeu redirigir la seva sortida a un fitxer CSV per a una anàlisi posterior.

  1. Instal·leu el llenguatge de programació Go a Linux

Instal·leu InsecuRes als sistemes Linux

Un cop instal·lat el llenguatge de programació Go al sistema, executeu l'ordre següent al terminal per obtenir insecres.

$ go get github.com/kkomelin/insecres

Un cop hàgiu descarregat i instal·lat insecres, executeu l'ordre següent per escanejar el vostre lloc per buscar recursos insegurs. Si no mostra cap sortida, probablement vol dir que no hi ha recursos insegurs al vostre lloc.

$ $GOPATH/bin/insecres https://example.com

Per desar la sortida en un fitxer CSV per a un examen posterior, utilitzeu el senyalador -f.

$ $GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Mostra la guia d'ús.

$ $GOPATH/bin/insecres -h

Algunes de les característiques que s'han d'afegir inclouen comptadors de resultats de visualització i comparació del rendiment de l'anàlisi simple d'expressions regulars i l'anàlisi tokenitzat.

Repositori InsecRes Github: https://github.com/kkomelin/insecres

En aquest article, us vam mostrar com trobar recursos insegurs als llocs HTTPS mitjançant una eina de línia d'ordres senzilla anomenada insecres. Podeu fer preguntes o compartir els vostres pensaments a través de la secció de comentaris a continuació. Si coneixeu alguna eina similar, també compartiu informació sobre elles.