在安全页面上查找所有不安全的内容
-
12-10-2019 - |
题
找到HTTPS页面要求的所有非HTTPS URL列表的最有效方法是什么?如果发生这种安全性违规,每个浏览器都会提醒用户,但是我找不到一种简单的方法来找到确切的URL导致违规行为。
到目前为止,我发现的最简单方法是使用Firefox,但即使如此,它仍然不是很方便。首先,我可以右键单击,选择查看页面信息,单击“媒体”选项卡,然后滚动浏览URL列表。但是,这似乎只列出了图像文件,而不包括CSS或JS包含的也可能导致错误。对于这些,我必须使用Firebug扩展名,选择“ Net”选项卡,然后手动将鼠标悬停在每个项目上以查看整个URL。不幸的是,如果您有数十个媒体文件,这可能需要一段时间。有没有更好的办法?
解决方案
注意,在最近版本的Chrome中,这些错误将显示在JavaScript控制台中。
例如
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
其他提示
尝试: www.whynopadlock.com 它将为您提供任何HTTPS网页上所有不安全内容的报告。
使用提琴手。
安全的请求根本不会显示(除了HTTPS连接外,可以隐藏的),因此您会看到的一切都不好。
我遇到了这个问题,该问题发生在JavaScript中:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
src = javaScript:应避免void(0)。
您找不到使用Fiddler或Chrome的问题。
您可以检查 https://www.missingpadlock.com/
是用于查找不安全页面的网站的在线工具。
如果您拥有该网站,则应调查 这 Content-Security-Policy
标题选项。 这些可以包括 强迫HTTPS上的资源, 或自动尝试 将http资源重定向到https, 除其他事项外。
值得注意的是,还有一个 report-uri
密切相关的指令 Content-Security-Policy-Report-Only
标题 这将CSP的任何违规行为报告给您选择的URI。这意味着任何有支持的浏览器1 为了 report-uri
会给您带来有问题的HTTPS上网站上页面的报告 在现有基础上。 Mozilla开发人员网络有 一个PHP示例 处理报告。
1 请注意,如果您可以合理地期望 任何 具有完整CSP(RO)支持的浏览器以打入有关页面,有些浏览器没有支持它并不重要。
我只想留下关于这个问题出现时发生的事情的注释。
突然,我的域显示了“混合:不安全的物品”。我根本找不到原因。该控制台只是显示了正在要求的图像: http://www.example.com/
, ,我找不到任何参考 任何地方.
我进行了搜索和搜索,并最终发现在Chrome的“安全性”选项卡中,它显示了“不安全内容”,它说“在网络选项卡中显示”。当我单击它时,它再次向我展示了不良URL,除了没有任何信息 主持人 柱子。它显示了图像 footer_bg.jpg
.
我想知道有人将代码注入我的页脚背景图像吗?原来不,我昨天无意中移动了这张图像,忘记了它。因此,该页面要求不存在的图像,返回错误。我将链接修复到图像,页面再次加载。
仅适用于将来可能会有这个问题的其他人。
利用 Burp Suite, ,将范围设置为您的网站,请浏览安全页面,然后检查对您网站的HTTP版本提出的请求。
如果您想对整个网站进行一次镜头,相当合理的递归扫描,可以使用Bramus的 mixed-content-scan
来自CLI。它不会检查补充JS/CSS中的链接,但很棒的是发现3年前实习生的一篇文章张贴了危险的非SSL脚本。
为 正在进行 解决方案,请参阅 我的另一个答案.