InsecRes - HTTPS Sitelerinde Güvenli Olmayan Kaynakları Bulma Aracı

Sitenizi HTTPS'ye geçirdikten sonra, muhtemelen resimler, slaytlar, yerleştirilmiş videolar ve diğerleri gibi kaynakların doğru bir şekilde HTTPS protokolüne yönlendirilip yönlendirilmediğini veya sayfalardaki güvenli olmayan içerikle ilgili uyarılar gösterip göstermediğini test etmek isteyebilirsiniz. Biraz araştırma yaptıktan sonra bu amaç için insecuRes adında yararlı bir araç buldum.

InsecuRes, HTTPS sitelerinde güvenli olmayan kaynakları bulmaya yönelik, Go programlama dilinde yazılmış, küçük, ücretsiz ve açık kaynaklı, komut satırı tabanlı bir araçtır. Site sayfalarını taramak ve ayrıştırmak için “çoklu iş parçacığı”nın (goroutines) gücünden yararlanır.

Ayrıca Okuyun: Apache'de HTTP'yi HTTPS'ye Yönlendirme

Tüm web sitenizin sayfalarını paralel olarak tarar, tarar ve yakalar: IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE ve TRACK kaynaklarını tam HTTP (güvenli olmayan) URL'lerle. Web sunucusu tarafından kara listeye alınmasını önlemek için istekler arasında rastgele bir gecikme kullanır. Ayrıca daha sonra analiz edilmek üzere çıktısını bir CSV dosyasına yönlendirebilirsiniz.

Gereksinimler

  1. Go Programlama Dilini Linux'a Yükleme

InsecuRes'i Linux Sistemlerine Kurun

Sisteme Go Programlama Dili yüklendikten sonra, güvensizlik elde etmek için terminalde aşağıdaki komutu çalıştırın.

go get github.com/kkomelin/insecres

Insecres'ı indirip yükledikten sonra sitenizi güvenli olmayan kaynaklara karşı taramak için aşağıdaki komutu çalıştırın. Hiçbir çıktı göstermiyorsa bu muhtemelen sitenizde güvenli olmayan kaynak olmadığı anlamına gelir.

$GOPATH/bin/insecres https://example.com

Çıktıyı daha sonra incelemek üzere bir CSV dosyasına kaydetmek için -f işaretini kullanın.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Kullanım kılavuzunu görüntüleyin.

$GOPATH/bin/insecres -h

Eklenecek özelliklerden bazıları, görüntüleyici sonuç sayaçlarını ve basit normal ifade ayrıştırma ile simgeleştirilmiş ayrıştırmanın performansını karşılaştırmayı içerir.

InsecRes Github deposu: https://github.com/kkomelin/insecres

Bu makalede, insecres adı verilen basit bir komut satırı aracını kullanarak HTTPS sitelerindeki güvenli olmayan kaynakları nasıl bulacağınızı gösterdik. Aşağıdaki yorum kısmından soru sorabilir veya düşüncelerinizi paylaşabilirsiniz. Piyasada benzer araçlar biliyorsanız, onlar hakkında da bilgi paylaşın.