Recherche de site Web

InsecRes - Un outil pour trouver des ressources non sécurisées sur les sites HTTPS

Après avoir basculé votre site vers HTTPS, vous souhaiterez probablement tester si les ressources telles que les images, les diapositives, les vidéos intégrées et autres sont correctement pointées vers le protocole HTTPS ou affichent des avertissements concernant le contenu non sécurisé des pages. Après quelques recherches, j'ai trouvé un outil utile à cet effet, appelé insecuRes.

InsecuRes est un petit outil gratuit et open source basé sur une ligne de commande permettant de rechercher des ressources non sécurisées sur des sites HTTPS, écrit en langage de programmation Go. Il utilise la puissance du « multi-threading » (goroutines) pour explorer et analyser les pages du site.

Lire aussi : Comment rediriger HTTP vers HTTPS sur Apache

Il explore toutes les pages de votre site Web en parallèle, analyse et capture : les ressources IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE et TRACK avec des URL HTTP complètes (non sécurisées). Pour empêcher la mise sur liste noire par le serveur Web, il utilise un délai aléatoire entre les requêtes. De plus, vous pouvez rediriger sa sortie vers un fichier CSV pour une analyse ultérieure.

Exigences

  1. Installer le langage de programmation Go sous Linux

Installer InsecuRes sur les systèmes Linux

Une fois Go Programming Language installé sur le système, exécutez la commande ci-dessous sur le terminal pour obtenir des insecrets.

go get github.com/kkomelin/insecres

Une fois que vous avez téléchargé et installé Insecres, exécutez la commande ci-dessous pour analyser votre site à la recherche de ressources non sécurisées. S'il n'affiche aucun résultat, cela signifie probablement qu'il n'y a aucune ressource non sécurisée sur votre site.

$GOPATH/bin/insecres https://example.com

Pour enregistrer la sortie dans un fichier CSV pour un examen ultérieur, utilisez l'indicateur -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Afficher le guide d'utilisation.

$GOPATH/bin/insecres -h

Certaines des fonctionnalités à ajouter incluent l'affichage de compteurs de résultats et la comparaison des performances de l'analyse regex simple et de l'analyse tokenisée.

Dépôt InsecRes Github : https://github.com/kkomelin/insecres

Dans cet article, nous vous avons montré comment trouver des ressources non sécurisées sur des sites HTTPS, à l'aide d'un simple outil de ligne de commande appelé insecres. Vous pouvez poser des questions ou partager vos réflexions via la section commentaires ci-dessous. Si vous connaissez des outils similaires, partagez également des informations à leur sujet.