InsecRes — инструмент для поиска незащищенных ресурсов на HTTPS-сайтах
После переключения вашего сайта на HTTPS вы, вероятно, захотите проверить, правильно ли такие ресурсы, как изображения, слайды, встроенные видео и другие, указывают на протокол HTTPS или отображают предупреждения о небезопасном контенте на страницах. После некоторых исследований я нашел для этой цели полезный инструмент под названием insecuRes.
InsecuRes — это небольшой бесплатный инструмент с открытым исходным кодом, основанный на командной строке, для поиска небезопасных ресурсов на HTTPS-сайтах, написанный на языке программирования Go. Он использует возможности «многопоточности» (goroutines) для сканирования и анализа страниц сайта.
Читайте также: как перенаправить HTTP на HTTPS на Apache
Он параллельно сканирует все страницы вашего веб-сайта, сканирует и перехватывает: ресурсы IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE и TRACK с полными HTTP (небезопасными) URL-адресами. Чтобы предотвратить занесение веб-сервера в черный список, он использует случайную задержку между запросами. Кроме того, вы можете перенаправить его вывод в файл CSV для последующего анализа.
Требования
- Установите язык программирования Go в Linux
Установите InsecuRes в системах Linux
После установки Go Programming Language в системе выполните приведенную ниже команду на терминале, чтобы получить insecres.
go get github.com/kkomelin/insecres
После того, как вы загрузили и установили insecres, выполните приведенную ниже команду, чтобы просканировать ваш сайт на наличие незащищенных ресурсов. Если вывод не отображается, это, вероятно, означает, что на вашем сайте нет небезопасных ресурсов.
$GOPATH/bin/insecres https://example.com
Чтобы сохранить выходные данные в файле CSV для последующего изучения, используйте флаг -f
.
$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com
Руководство по использованию дисплея.
$GOPATH/bin/insecres -h
Некоторые из функций, которые будут добавлены, включают отображение счетчиков результатов и сравнение производительности простого анализа регулярных выражений и анализа токенов.
Репозиторий InsecRes на Github: https://github.com/kkomelin/insecres
В этой статье мы показали вам, как найти незащищенные ресурсы на сайтах HTTPS с помощью простого инструмента командной строки под названием insecres. Вы можете задавать вопросы или делиться своими мыслями в разделе комментариев ниже. Если вам известны какие-либо подобные инструменты, поделитесь информацией о них.