INSECRES - Un outil pour trouver des ressources non sécurisées sur les sites HTTPS

Après avoir changé votre site vers Https, Vous voulez probablement tester si des ressources telles que des images, des diapositives, des vidéos intégrées et d'autres sont correctement indiquées vers le protocole HTTPS ou afficher des avertissements sur le contenu sans sécurité sur les pages. Après quelques recherches, j'ai trouvé un outil utile à cet effet, appelé insécurité.

Insécurité est un petit outil basé sur la ligne de commande libre et open source pour trouver des ressources en insécurité sur les sites HTTPS, écrite en langage de programmation Go. Il utilise la puissance du «multi-threading» (Goroutines) pour ramper et analyser les pages du site.

Lire aussi: Comment rediriger HTTP vers HTTPS sur Apache

Il explore toutes les pages de votre site Web en parallèle, scanne et captures: IMG, iframe, objet, audio, vidéo, source et suivi des ressources avec des URL HTTP (insécurité) complète. Pour empêcher la liste noire par serveur Web, il utilise un retard aléatoire entre les demandes. De plus, vous pouvez rediriger sa sortie vers un fichier CSV pour une analyse ultérieure.

Exigences

1. Installez le langage de programmation Go dans Linux

Installer des insétures dans les systèmes Linux

Une fois Aller le langage de programmation Installé sur le système, exécutez la commande ci-dessous sur le terminal pour obtenir insérec.

$ va prendre github.com / kkomelin / insecres 

Une fois que vous avez téléchargé et installé INSECRES, exécutez la commande ci-dessous pour scanner votre site pour des ressources en insécurité. S'il ne montre aucune sortie, cela signifie probablement qu'il n'y a pas de ressources non sécurisées sur votre site.

$ Gopath / bin / insecres https: // exemple.com 

Pour enregistrer la sortie dans un fichier CSV pour un examen ultérieur, utilisez le -F drapeau.

$ $ Gopath / bin / insecres -f = "/ path / to / scan_report.csv " https: // exemple.com 

Guide d'utilisation d'affichage.

$ $ Gopath / bin / insecres -h 

Certaines des fonctionnalités à ajouter comprennent les compteurs de résultats d'affichage et la comparaison des performances de l'analyse regex simple et de l'analyse tokenisée.

Référentiel GitHub InCRES: https: // github.com / kkomelin / insecres

Dans cet article, nous vous avons montré comment trouver des ressources en insécurité sur les sites HTTPS, en utilisant un outil de ligne de commande simple appelé insérec. Vous pouvez poser des questions ou partager vos réflexions via la section des commentaires ci-dessous. Si vous connaissez des outils similaires, partagez également des informations à leur sujet.