Todo hallazgo inseguro contenido en una página segura
https://stackoverflow.com/questions/4728507
-
12-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es la forma más eficaz de encontrar una lista de todos los no-HTTPS URL solicitada por una página HTTPS? Si este tipo de violación de seguridad ocurre, cada alertas del navegador del usuario, pero no puedo encontrar una manera fácil de encontrar lo que causa exacta URL de la violación.
La forma más sencilla que he encontrado hasta ahora es utilizar Firefox, pero incluso entonces todavía no es muy conveniente. En primer lugar, puede hacer clic derecho, seleccione Ver información de página, haga clic en la pestaña Medios, y desplazarse a través de una lista de URL. Sin embargo, esto parece sólo archivos de imagen lista, no CSS o JS incluye que también pueden causar el error. Para aquellos, que tengo que utilizar la extensión Firebug, seleccione la ficha Red, y de forma manual sitúe el ratón sobre cada elemento para ver la URL completa. Desafortunadamente, esto puede tomar un tiempo si tiene docenas de archivos multimedia. ¿Hay una mejor manera?
Solución
Tenga en cuenta, en las últimas versiones de Chrome, estos errores se mostrará en la consola de Javascript.
por ejemplo.
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
Otros consejos
Trate:. www.WhyNoPadlock.com Se le dará un informe de todos los contenidos inseguros en cualquier página web https
Se puede usar SslCheck
Es una herramienta gratuita en línea que se arrastra una página web de forma recursiva (siguiendo todos los enlaces internos) y escanea para contenido no seguro -. Imágenes, scripts y CSS
(exención de responsabilidad: Soy uno de los desarrolladores)
Recientemente tuvimos el mismo problema, el uso de cromo herramienta de desarrollo era más fácil de encontrar .. En marcha herramienta de desarrollo a Seguridad , se puede encontrar toda petición no https
Uso violinista.
solicitudes de seguros no aparece en absoluto (excepto como HTTPS CONNECT, que puede estar oculto), por lo que todo lo que verá es mala.
Yo tenía este problema que se produjo en un javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
The src = javascript:. Void (0) debe ser evitado
No se puede encontrar este problema utilizando Fiddler o Chrome.
Puede comprobar https://www.missingpadlock.com/
Es una herramienta en línea para rastrear su sitio para las páginas inseguras encontrar.
Si es el propietario del sitio web, usted debe buscar en la cabecera Content-Security-Policy opciones. Estos pueden incluir forzando HTTPS en los recursos, o intentar automáticamente a redirección HTTP a HTTPS, entre otras cosas.
En particular, hay también un report-uri Directiva para el estrechamente relacionado Content-Security-Policy-Report-Only cabecera que informa de cualquier infracción de su CSP a un URI de su elección. Esto significa que cualquier navegador con soporte 1 para report-uri le enviará informes de páginas de su sitio con problemática HTTPS sobre una base continua. Mozilla Developer Network tiene un ejemplo PHP de manipulación los informes.
1 Tenga en cuenta que si se puede esperar razonablemente ningún apoyo navegador con plena CSP (RO) para golpear las páginas en cuestión, no importa que algunos navegadores no tiene soporte para el mismo.
Sólo quiero dejar una nota sobre lo que me pasó cuando surgió este problema.
De repente mi dominio mostró 'mixtos: Los productos inseguros. No pude encontrar la causa en absoluto. La consola acaba de mostrar se solicitaba una imagen: http://www.example.com/, que no pude encontrar ninguna referencia a en cualquier lugar .
Me buscó y buscó y finalmente encontró que en la ficha de seguridad de Chrome, donde se mostraba 'inseguro contenido', dijo 'Show en Ficha Red'. Cuando hace clic de eso, me estaba mostrando la mala dirección URL, una vez más, sin ninguna información aparte de la Initiatior columna. Se muestra el footer_bg.jpg imagen.
a alguna persona inyecta código de mi imagen de fondo de pie de página Me preguntaba en? Resulta que no, que se habían movido inadvertidamente esa imagen ayer y se olvidó de él. Por lo que la página se solicita una imagen que no estaba allí y devolverá un error. He arreglado el enlace a la imagen se carga y página segura de nuevo.
Sólo por cualquier otra persona que posiblemente tendrá este problema en el futuro.
Burp Suite de , establecer el alcance que su sitio web, vaya a la página segura y comprobar qué solicitud se hacen a la versión HTTP de su página web.
Si quieres un one-shot, exploración razonablemente amplio, recursiva de un sitio web completo, se puede utilizar de Bramus mixed-content-scan desde la CLI. No comprobará enlaces en suplementario JS / CSS, pero es ideal para encontrar que un puesto de que el pasante de hace 3 años soportó un script no SSL peligroso.
Para un en curso solución, ver mi otra respuesta .
