Pesquisa de site

InsecRes – Uma ferramenta para encontrar recursos inseguros em sites HTTPS

Depois de mudar seu site para HTTPS, você provavelmente desejará testar se recursos como imagens, slides, vídeos incorporados e outros estão corretamente apontados para o protocolo HTTPS ou exibindo avisos sobre conteúdo inseguro nas páginas. Depois de alguma pesquisa encontrei uma ferramenta útil para esse fim, chamada insecuRes.

InsecuRes é uma ferramenta pequena, gratuita e de código aberto baseada em linha de comando para encontrar recursos inseguros em sites HTTPS, escrita na linguagem de programação Go. Ele utiliza o poder do “multi-threading” (goroutines) para rastrear e analisar as páginas do site.

Leia também: Como redirecionar HTTP para HTTPS no Apache

Ele rastreia todas as páginas do seu site em paralelo, verifica e captura: recursos IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE e TRACK com URLs HTTP (inseguros) completos. Para evitar a inclusão na lista negra por servidor web, ele emprega um atraso aleatório entre as solicitações. Além disso, você pode redirecionar sua saída para um arquivo CSV para análise posterior.

Requisitos

  1. Instale a linguagem de programação Go no Linux

Instale InsecuRes em sistemas Linux

Uma vez instalada a Go Programming Language no sistema, execute o comando abaixo no terminal para obter inscretos.

go get github.com/kkomelin/insecres

Depois de baixar e instalar o insecres, execute o comando abaixo para verificar se há recursos inseguros em seu site. Se não mostrar nenhuma saída, isso provavelmente significa que não há recursos inseguros em seu site.

$GOPATH/bin/insecres https://example.com

Para salvar a saída em um arquivo CSV para exame posterior, use o sinalizador -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Exibir guia de uso.

$GOPATH/bin/insecres -h

Alguns dos recursos a serem adicionados incluem contadores de resultados de exibição e comparação de desempenho de análise simples de regex e análise tokenizada.

Repositório InsecRes Github: https://github.com/kkomelin/insecres

Neste artigo, mostramos como encontrar recursos inseguros em sites HTTPS, usando uma ferramenta simples de linha de comando chamada insecres. Você pode fazer perguntas ou compartilhar suas idéias através da seção de comentários abaixo. Se você conhece alguma ferramenta semelhante por aí, compartilhe informações sobre ela também.