Búsqueda de sitios web

InsecRes: una herramienta para encontrar recursos inseguros en sitios HTTPS

Después de cambiar su sitio a HTTPS, probablemente desee probar si recursos como imágenes, diapositivas, vídeos incrustados y otros apuntan correctamente al protocolo HTTPS o muestran advertencias sobre el contenido inseguro de las páginas. Después de investigar un poco encontré una herramienta útil para este propósito, llamada insecuRes.

InsecuRes es una herramienta pequeña, gratuita y de código abierto basada en línea de comandos para encontrar recursos inseguros en sitios HTTPS, escrita en lenguaje de programación Go. Utiliza el poder de los "subprocesos múltiples" (gorrutinas) para rastrear y analizar las páginas del sitio.

Lea también: Cómo redirigir HTTP a HTTPS en Apache

Rastrea todas las páginas de su sitio web en paralelo, escanea y captura: recursos IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE y TRACK con URL HTTP completas (inseguras). Para evitar la inclusión en la lista negra del servidor web, emplea un retraso aleatorio entre solicitudes. Además, puede redirigir su salida a un archivo CSV para su posterior análisis.

Requisitos

  1. Instalar el lenguaje de programación Go en Linux

Instalar InsectecuRes en sistemas Linux

Una vez que Go Programming Language esté instalado en el sistema, ejecute el siguiente comando en la terminal para obtener insecres.

go get github.com/kkomelin/insecres

Una vez que haya descargado e instalado insecres, ejecute el siguiente comando para escanear su sitio en busca de recursos inseguros. Si no muestra ningún resultado, probablemente significa que no hay recursos inseguros en su sitio.

$GOPATH/bin/insecres https://example.com

Para guardar el resultado en un archivo CSV para examinarlo más tarde, utilice el indicador -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Mostrar guía de uso.

$GOPATH/bin/insecres -h

Algunas de las características que se agregarán incluyen mostrar contadores de resultados y comparar el rendimiento del análisis de expresiones regulares simple y el análisis tokenizado.

Repositorio de InsecRes Github: https://github.com/kkomelin/insecres

En este artículo, le mostramos cómo encontrar recursos inseguros en sitios HTTPS, utilizando una sencilla herramienta de línea de comandos llamada insecres. Puede hacer preguntas o compartir sus pensamientos a través de la sección de comentarios a continuación. Si conoce alguna herramienta similar, comparta información sobre ella también.