Ricerca nel sito web

InsecRes - Uno strumento per trovare risorse non sicure su siti HTTPS


Dopo aver passato il tuo sito a HTTPS, probabilmente vorrai verificare se risorse come immagini, diapositive, video incorporati e altro vengono indirizzate correttamente al protocollo HTTPS o visualizzano avvisi sui contenuti non sicuri nelle pagine. Dopo alcune ricerche ho trovato uno strumento utile a questo scopo, chiamato insecuRes.

InsecuRes è un piccolo strumento gratuito e open source basato su riga di comando per trovare risorse non sicure su siti HTTPS, scritto nel linguaggio di programmazione Go. Utilizza la potenza del "multi-threading" (goroutine) per eseguire la scansione e l'analisi delle pagine del sito.

Leggi anche: Come reindirizzare HTTP a HTTPS su Apache

Esegue la scansione di tutte le pagine del tuo sito web in parallelo, scansiona e cattura: risorse IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE e TRACK con URL HTTP completi (non sicuri). Per impedire l'inserimento nella lista nera da parte del server web, utilizza un ritardo casuale tra le richieste. Inoltre, puoi reindirizzare il suo output a un file CSV per un'analisi successiva.

Requisiti

  1. Installa il linguaggio di programmazione Go in Linux

Installa InsecuRes nei sistemi Linux

Una volta installato Go Programming Language sul sistema, esegui il comando seguente sul terminale per ottenere insecres.

go get github.com/kkomelin/insecres

Dopo aver scaricato e installato insecres, esegui il comando seguente per scansionare il tuo sito alla ricerca di risorse non sicure. Se non mostra alcun output, probabilmente significa che non sono presenti risorse non sicure sul tuo sito.

$GOPATH/bin/insecres https://example.com

Per salvare l'output in un file CSV per un esame successivo, utilizzare il flag -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Visualizza la guida all'uso.

$GOPATH/bin/insecres -h

Alcune delle funzionalità da aggiungere includono la visualizzazione di contatori dei risultati e il confronto delle prestazioni dell'analisi regex semplice e dell'analisi tokenizzata.

Repository Github InsecRes: https://github.com/kkomelin/insecres

In questo articolo ti abbiamo mostrato come trovare risorse non sicure sui siti HTTPS, utilizzando un semplice strumento da riga di comando chiamato insecres. Puoi porre domande o condividere i tuoi pensieri tramite la sezione commenti qui sotto. Se conosci strumenti simili disponibili, condividi anche le informazioni su di essi.