InsecRes - Zana ya Kupata Rasilimali Zisizo Usalama kwenye Tovuti za HTTPS


Baada ya kubadilisha tovuti yako hadi HTTPS, pengine ungependa kujaribu ikiwa nyenzo kama vile picha, slaidi, video zilizopachikwa na nyinginezo, zimeelekezwa kwa itifaki ya HTTPS au kuonyesha maonyo kuhusu maudhui yasiyo salama kwenye kurasa. Baada ya utafiti fulani nilipata zana muhimu kwa kusudi hili, inayoitwa insecuRes.

InsecuRes ni zana ndogo, isiyolipishwa na ya wazi ya msingi ya mstari wa amri ya kutafuta rasilimali zisizo salama kwenye tovuti za HTTPS, iliyoandikwa kwa lugha ya programu ya Go. Inatumia uwezo wa kuweka nyuzi nyingi (goroutines) kutambaa na kuchanganua kurasa za tovuti.

Hutambaza kurasa zako zote za tovuti kwa sambamba, kuchanganua na kunasa: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE na rasilimali za TRACK zenye url kamili za HTTP (zisizo salama). Ili kuzuia kuorodheshwa kwa seva ya wavuti, hutumia ucheleweshaji wa nasibu kati ya maombi. Zaidi ya hayo, unaweza kuelekeza pato lake kwa faili ya CSV kwa uchanganuzi wa baadaye.

  1. Sakinisha Lugha ya Kutayarisha Go katika Linux

Sakinisha InsecuRes kwenye Mifumo ya Linux

Mara tu Lugha ya Programu ya Go iliyosanikishwa kwenye mfumo, endesha amri hapa chini kwenye terminal ili kupata insecres.

$ go get github.com/kkomelin/insecres

Mara tu unapopakua na kusakinisha insecres, endesha amri hapa chini ili kuchanganua tovuti yako kwa rasilimali zisizo salama. Ikiwa haionyeshi matokeo, hiyo labda inamaanisha kuwa hakuna rasilimali zisizo salama kwenye tovuti yako.

$ $GOPATH/bin/insecres https://example.com

Ili kuhifadhi matokeo katika faili ya CSV kwa uchunguzi wa baadaye, tumia alama ya -f.

$ $GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Onyesha mwongozo wa matumizi.

$ $GOPATH/bin/insecres -h

Baadhi ya vipengele vya kuongezwa ni pamoja na vihesabu vya matokeo ya kuonyesha na kulinganisha utendaji wa uchanganuzi rahisi wa regex na uchanganuzi wa tokeni.

InsecRes Github hazina: https://github.com/kkomelin/insecres

Katika makala hii, tulikuonyesha jinsi ya kupata rasilimali zisizo salama kwenye tovuti za HTTPS, kwa kutumia zana rahisi ya mstari wa amri inayoitwa insecres. Unaweza kuuliza maswali au kushiriki mawazo yako kupitia sehemu ya maoni hapa chini. Ikiwa unajua zana zozote zinazofanana huko nje, shiriki habari kuzihusu pia.