InsecRes: una herramienta para encontrar recursos inseguros en sitios HTTPS


Después de cambiar su sitio a HTTPS, probablemente desee probar si recursos como imágenes, diapositivas, videos incrustados y otros, están correctamente apuntados al protocolo HTTPS o muestran advertencias sobre el contenido inseguro en las páginas. Después de investigar un poco, encontré una herramienta útil para este propósito, llamada insecuRes.

InsecuRes es una herramienta pequeña, gratuita y de código abierto basada en la línea de comandos para encontrar recursos inseguros en sitios HTTPS, escrita en el lenguaje de programación Go. Utiliza el poder de "multi-threading" (goroutines) para rastrear y analizar las páginas del sitio.

Rastrea todas las páginas de su sitio web en paralelo, escanea y captura: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE y TRACK recursos con URL HTTP (inseguras) completas. Para evitar la inclusión en listas negras por parte del servidor web, emplea un retraso aleatorio entre solicitudes. Además, puede redirigir su salida a un archivo CSV para su posterior análisis.

  1. Instale el lenguaje de programación Go en Linux

Instale InsecuRes en sistemas Linux

Una vez que Go Programming Language esté instalado en el sistema, ejecute el siguiente comando en el terminal para obtener insecres.

$ go get github.com/kkomelin/insecres

Una vez que haya descargado e instalado insecres, ejecute el siguiente comando para escanear su sitio en busca de recursos inseguros. Si no muestra ningún resultado, probablemente significa que no hay recursos inseguros en su sitio.

$ $GOPATH/bin/insecres https://example.com

Para guardar la salida en un archivo CSV para un examen posterior, use la marca -f .

$ $GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Mostrar guía de uso.

$ $GOPATH/bin/insecres -h

Algunas de las características que se agregarán incluyen contadores de resultados de visualización y comparación del rendimiento del análisis simple de expresiones regulares y el análisis tokenizado.

Repositorio InsecRes Github: https://github.com/kkomelin/insecres

En este artículo, le mostramos cómo encontrar recursos inseguros en sitios HTTPS, utilizando una herramienta de línea de comandos simple llamada insecres. Puede hacer preguntas o compartir sus pensamientos a través de la sección de comentarios a continuación. Si conoce alguna herramienta similar, comparta información sobre ellas también.