InsecRes - Alat untuk Menemukan Sumber Daya yang Tidak Aman di Situs HTTPS


Setelah mengalihkan situs Anda ke HTTPS, Anda mungkin ingin menguji apakah sumber daya seperti gambar, slide, video tersemat, dan lainnya, diarahkan dengan benar ke protokol HTTPS atau menampilkan peringatan tentang konten tidak aman di laman. Setelah melakukan beberapa penelitian, saya menemukan alat yang berguna untuk tujuan ini, yang disebut insecRes.

InsecuRes adalah alat berbasis baris perintah sumber terbuka dan kecil untuk menemukan sumber daya tidak aman di situs HTTPS, yang ditulis dalam bahasa pemrograman Go. Ini memanfaatkan kekuatan “multi-threading” (goroutine) untuk merayapi dan mengurai halaman situs.

Baca Juga: Cara Redirect HTTP ke HTTPS di Apache

Itu merayapi semua halaman situs web Anda secara paralel, memindai dan menangkap: sumber daya IMG, IFRAME, OBJECT, AUDIO, VIDEO, SOURCE dan TRACK dengan url HTTP penuh (tidak aman). Untuk mencegah masuknya daftar hitam oleh server web, server web menerapkan penundaan acak antar permintaan. Selain itu, Anda dapat mengarahkan keluarannya ke file CSV untuk dianalisis nanti.

Persyaratan

  1. Instal Bahasa Pemrograman Go di Linux

Instal InsecRes di Sistem Linux

Setelah Bahasa Pemrograman Go diinstal pada sistem, jalankan perintah di bawah ini pada terminal untuk mendapatkan insecres.

go get github.com/kkomelin/insecres

Setelah Anda mengunduh dan menginstal insecres, jalankan perintah di bawah ini untuk memindai situs Anda dari sumber daya yang tidak aman. Jika tidak ada keluaran yang ditampilkan, itu mungkin berarti tidak ada sumber daya yang tidak aman di situs Anda.

$GOPATH/bin/insecres https://example.com

Untuk menyimpan keluaran dalam file CSV untuk pemeriksaan nanti, gunakan tanda -f.

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

Tampilkan panduan penggunaan.

$GOPATH/bin/insecres -h

Beberapa fitur yang akan ditambahkan termasuk penghitung hasil tampilan dan membandingkan kinerja penguraian regex sederhana dan penguraian token.

Repositori Github InsecRes: https://github.com/kkomelin/insecres

Dalam artikel ini, kami menunjukkan kepada Anda cara menemukan sumber daya yang tidak aman di situs HTTPS, menggunakan alat baris perintah sederhana yang disebut insecres. Anda dapat mengajukan pertanyaan atau membagikan pemikiran Anda melalui bagian komentar di bawah. Jika Anda mengetahui alat serupa di luar sana, bagikan juga informasi tentang alat tersebut.