InsecRes - Una herramienta para encontrar recursos inseguros en sitios HTTPS


Después de cambiar su sitio a HTTPS , es probable que desee probar si los recursos, como imágenes, diapositivas, videos incrustados y otros, apuntan correctamente al protocolo HTTPS o muestran advertencias sobre el contenido inseguro en las páginas. Después de algunas investigaciones, encontré una herramienta útil para este propósito, llamada insecuRes .

InsecuRes es una herramienta de línea de comandos pequeña, gratuita y de código abierto para encontrar recursos inseguros en sitios HTTPS, escrita en el lenguaje de programación Go. Utiliza el poder de "subprocesos múltiples" (goroutines) para rastrear y analizar páginas del sitio.

Rastrea todas las páginas de su sitio web en paralelo, escanea y captura: recursos IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE y TRACK con urls HTTP completos (inseguros). Para evitar la inclusión en listas negras por el servidor web, emplea un retraso aleatorio entre las solicitudes. Además, puede redirigir su salida a un archivo CSV para su posterior análisis.

  1. Install Go Programming Language in Linux

Instalar InsecuRes en sistemas Linux

Una vez que se haya instalado Go Programming Language en el sistema, ejecute el siguiente comando en el terminal para obtener insegres .

$ go get github.com/kkomelin/insecres

Una vez que haya descargado e instalado insegres, ejecute el siguiente comando para escanear su sitio en busca de recursos inseguros. Si no muestra resultados, eso probablemente significa que no hay recursos inseguros en su sitio.

$ $GOPATH/bin/insecres https://example.com

Para guardar la salida en un archivo CSV para un examen posterior, use la marca -f .

$ $GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Mostrar la guía de uso.

$ $GOPATH/bin/insecres -h

Algunas de las características que se agregarán incluyen contadores de resultados de visualización y comparación de rendimiento de análisis de expresiones regulares simples y análisis de token.

Repositorio de Github de InsecRes : https://github.com/kkomelin/insecres

En este artículo, le mostramos cómo encontrar recursos inseguros en los sitios HTTPS, utilizando una herramienta de línea de comandos simple llamada insegres . Puede hacer preguntas o compartir sus pensamientos a través de la sección de comentarios a continuación. Si conoce alguna herramienta similar, también comparta información sobre ellos.