Finding Alle Unsichere Inhalt auf einer sicheren Seite

StackOverflow https://stackoverflow.com/questions/4728507

Frage

Was ist der effizienteste Weg, um eine Liste aller nicht-HTTPS-URLs von einer HTTPS-Seite angefordert zu finden? Wenn diese Art von Sicherheitsverletzung geschieht, kann der Benutzer alle Browser-Benachrichtigungen, aber ich kann nicht auf einfache Weise finden zu finden, was URLs Ursache der Verletzung exakt.

Der einfachste Weg, die ich bisher gefunden habe, ist Firefox zu verwenden, aber selbst dann ist es noch nicht sehr bequem. Erstens kann ich die rechte Maustaste, wählen Sie Ansicht Seiteninformationen, klicken Sie auf die Registerkarte Medien und blättert durch eine Liste von URLs. Dies scheint jedoch nur Liste von Bilddateien, nicht CSS oder JS enthält, die auch Ursache der Fehler. Für diejenigen, muss ich die Firebug-Erweiterung verwenden, die Net Registerkarte auswählen und manuell meine Maus über jedes Element schweben die gesamte URL zu sehen. Leider kann dies eine Weile dauern, wenn Sie Dutzende von Mediendateien haben. Gibt es einen besseren Weg?

War es hilfreich?

Lösung

Beachten Sie, in den letzten Versionen von Chrome, werden diese Fehler in der JavaScript-Konsole angezeigt werden.

z. 

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Andere Tipps

Versuchen. www.WhyNoPadlock.com Es werden Sie einen Bericht über alle unsicheren Inhalte auf jeder https Webseite

Sie können mit SslCheck

Es ist ein kostenloses Online-Tool, das eine Website kriecht rekursiv (im Anschluss an alle internen Links) und sucht nach unsecure Inhalt -. Bilder, Skripte und CSS

(Disclaimer: Ich bin einer der Entwickler)

Vor kurzem hatte das gleiche Problem, mit Chrome Entwickler-Tool finden es war leichter zu .. In Entwickler-Tool Gehen Sie zu Sicherheit können Sie alle Nicht-HTTPS-Anfrage finden

image description hier

eingeben

Verwenden Sie Fiddler.

Sichere Anfragen werden nicht alle angezeigt (außer wie HTTPS verbunden ist, die versteckt werden kann), so alles, was Sie sehen werden ist schlecht.

Ich hatte dieses Problem, das in einem Javascript aufgetreten: 

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Die src = javascript:. Void (0) sollte vermieden werden,

Sie können dieses Problem nicht mit Fiddler oder Chrome finden.

Sie können prüfen, https://www.missingpadlock.com/

Ist ein Online-Tool für Crawling Ihrer Website für find unsichere Seiten.

Wenn Sie die Website besitzen, sollten Sie suchen in der Content-Security-Policy Kopf Optionen. Diese können zwingt HTTPS auf Ressourcen, oder automatisch versuchen, Umleitung HTTP-Ressourcen zu HTTPS, unter anderem.

Bemerkenswert ist, gibt es auch eine report-uri Richtlinie für die eng verwandten Content-Security-Policy-Report-Only Header , die zu einem uri Ihrer Wahl jede Regelwidrigkeit Ihres CSP berichtet. Dies bedeutet, dass jeder Browser mit Unterstützung 1 für report-uri Sie auf Ihrer Website berichten von Seiten senden mit problematischen HTTPS auf kontinuierlicher Basis. Mozilla Developer Network hat ein PHP Beispiel der Handhabung die Berichte.

1 Beachten Sie, dass, wenn Sie vernünftigerweise erwarten können, jeder Browser mit vollem CSP (RO) Unterstützung, um die Seiten in Frage zu treffen, spielt es keine Rolle, dass einige Browser tun hat Unterstützung für ihn nicht.

Ich möchte nur eine Notiz hinterlassen, was mir passiert, wenn dieses Problem entstanden ist.

Auf einmal meine Domäne zeigte 'Mixed: Unsichere Items'. Ich konnte nicht die Ursache überhaupt finden. Die Konsole wurde nur zeigt ein Bild angefordert wurde: http://www.example.com/, die ich keinen Hinweis auf überall finden konnte .

Ich suchte und suchte und schließlich festgestellt, dass in der Registerkarte Sicherheit von Chrome, wo es der Anzeige ‚Unsichere Inhalts‘ gesagt ‚Show in Netzwerk-Tab‘. Wenn ich, dass geklickt haben, war es mir die schlechte URL zeigt, wieder, ohne Informationen abgesehen von der Initiator Spalte. Es zeigte das Bild footer_bg.jpg.

Hat jemand injizierte Code in meine Fußzeile Hintergrundbild fragte ich mich? Stellt sich heraus, nein, hatte ich versehentlich das Bild gestern bewegt und vergessen. So ist die Seite ein Bild angefordert hat, die nicht da war, einen Fehler zurückgegeben. Ich reparierte den Link zum Bild und Seite lädt wieder sicher.

Nur für jemanden anderes, das möglicherweise über dieses Problem in der Zukunft.

Verwenden Sie Burp Suite , den Umfang als Ihre Website finden Sie auf der sicheren Seite einrichten und überprüfen, welche Anforderung gemacht werden, um HTTP-Version Ihrer Website.

Wenn Sie eine One-Shot wollen, angemessen-umfassende, rekursive Suche einer ganzen Website können Sie Bramus der mixed-content-scan von der CLI. Es wird keine Links überprüft in zusätzlichen JS / CSS, aber es ist toll für die einen Beitrag zu finden, dass der Praktikanten von 3 Jahren mit einem gefährlichen Nicht-SSL-Skript setzen.

Für eine Laufende Lösung finden Sie unter href="https://stackoverflow.com/a/43809517/241211">.

Nicht verbunden mit StackOverflow
scroll top