InsecRes - HTTPS サイト上の安全でないリソースを検索するツール

サイトをHTTPSに切り替えた後、画像、スライド、埋め込みビデオなどのリソースが HTTPS プロトコルを正しくポイントしているかどうか、またはページ上の安全でないコンテンツに関する警告が表示されているかどうかをテストする必要があるでしょう。いくつか調べた結果、この目的に役立つinsecuRes というツールを見つけました。

InsecuRes は、HTTPS サイト上の安全でないリソースを検索するための、Go プログラミング言語で書かれた、小規模で無料のオープン ソースのコマンド ライン ベースのツールです。 「マルチスレッド」（ゴルーチン）の機能を利用して、サイトのページをクロールおよび解析します。

こちらもお読みください: Apache で HTTP を HTTPS にリダイレクトする方法

Web サイトのすべてのページを並行してクロールし、完全な HTTP (安全でない) URL を含む IMG、IFRAME、OBJECT、AUDIO、VIDEO、SOURCE、TRACK リソースをスキャンしてキャッチします。 Web サーバーによるブラックリストへの登録を防ぐために、リクエスト間のランダムな遅延が採用されています。さらに、後で分析するために出力を CSV ファイルにリダイレクトすることもできます。

要件

1. Linux に Go プログラミング言語をインストールする

Linux システムに InsecuRes をインストールする

システムにGo プログラミング言語をインストールしたら、 ターミナルで以下のコマンドを実行して秘密を取得します。

go get github.com/kkomelin/insecres

insecres をダウンロードしてインストールしたら、以下のコマンドを実行してサイトをスキャンし、安全でないリソースがないか確認します。出力が表示されない場合は、サイト上に安全でないリソースがないことを意味していると考えられます。

$GOPATH/bin/insecres https://example.com

後で調べるために出力を CSV ファイルに保存するには、-f フラグを使用します。

$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://example.com

使用ガイドを表示します。

$GOPATH/bin/insecres -h

追加される機能には、結果カウンターの表示や、単純な正規表現解析とトークン化された解析のパフォーマンスの比較などがあります。

InsecRes Github リポジトリ: https://github.com/kkomelin/insecres

この記事では、insecres というシンプルなコマンド ライン ツールを使用して、HTTPS サイト上で安全でないリソースを見つける方法を説明しました。以下のコメントセクションから質問したり、意見を共有したりできます。同様のツールがあることを知っている場合は、それらに関する情報も共有してください。