Website-Suche

InsecRes – Ein Tool zum Auffinden unsicherer Ressourcen auf HTTPS-Sites

Nachdem Sie Ihre Website auf HTTPS umgestellt haben, möchten Sie wahrscheinlich testen, ob Ressourcen wie Bilder, Folien, eingebettete Videos und andere korrekt auf das HTTPS-Protokoll verweisen oder Warnungen zu unsicheren Inhalten auf den Seiten anzeigen. Nach einiger Recherche habe ich ein nützliches Tool für diesen Zweck gefunden, namens insecuRes.

InsecuRes ist ein kleines, kostenloses und Open-Source-Befehlszeilentool zum Auffinden unsicherer Ressourcen auf HTTPS-Sites, geschrieben in der Programmiersprache Go. Es nutzt die Leistungsfähigkeit von „Multi-Threading“ (Goroutinen), um Website-Seiten zu crawlen und zu analysieren.

Lesen Sie auch: So leiten Sie HTTP auf HTTPS auf Apache um

Es crawlt alle Seiten Ihrer Website parallel, scannt und fängt: IMG-, IFRAME-, OBJECT-, AUDIO-, VIDEO-, SOURCE- und TRACK-Ressourcen mit vollständigen HTTP-URLs (unsicher). Um das Blacklisting durch den Webserver zu verhindern, wird eine zufällige Verzögerung zwischen den Anfragen eingesetzt. Darüber hinaus können Sie die Ausgabe zur späteren Analyse in eine CSV-Datei umleiten.

Anforderungen

  1. Installieren Sie die Programmiersprache Go unter Linux

Installieren Sie InsectuRes in Linux-Systemen

Sobald Go Programming Language auf dem System installiert ist, führen Sie den folgenden Befehl auf dem Terminal aus, um insecres abzurufen.

go get github.com/kkomelin/insecres

Nachdem Sie insecres heruntergeladen und installiert haben, führen Sie den folgenden Befehl aus, um Ihre Website nach unsicheren Ressourcen zu durchsuchen. Wenn keine Ausgabe angezeigt wird, bedeutet das wahrscheinlich, dass auf Ihrer Website keine unsicheren Ressourcen vorhanden sind.

$GOPATH/bin/insecres https://example.com

Um die Ausgabe zur späteren Prüfung in einer CSV-Datei zu speichern, verwenden Sie das Flag -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Gebrauchsanweisung anzeigen.

$GOPATH/bin/insecres -h

Zu den Funktionen, die hinzugefügt werden sollen, gehören die Anzeige von Ergebniszählern und der Vergleich der Leistung von einfacher Regex-Analyse und tokenisierter Analyse.

InsecRes Github-Repository: https://github.com/kkomelin/insecres

In diesem Artikel haben wir Ihnen gezeigt, wie Sie mit einem einfachen Befehlszeilentool namens insecres unsichere Ressourcen auf HTTPS-Sites finden. Über den Kommentarbereich unten können Sie Fragen stellen oder Ihre Gedanken mitteilen. Wenn Sie ähnliche Tools kennen, geben Sie bitte auch Informationen darüber weiter.