Trouver tous Insecure contenu sur une page sécurisée
https://stackoverflow.com/questions/4728507
-
12-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelle est la façon la plus efficace de trouver une liste de toutes les URL non-HTTPS demandé par une page HTTPS? Si ce genre de violation de la sécurité se produit, toutes les alertes navigateur l'utilisateur, mais je ne peux pas trouver un moyen facile de trouver ce que exacte URL cause de la violation.
La façon la plus simple que je l'ai trouvé à ce jour est d'utiliser Firefox, mais même alors il est toujours pas très pratique. Tout d'abord, je peux clic droit, sélectionnez Afficher la page Info, cliquez sur l'onglet Media, et faire défiler une liste d'URL. Cependant, cela semble uniquement les fichiers d'images de la liste, pas CSS ou JS comprend qui peuvent aussi causer l'erreur. Pour ceux-ci, je dois utiliser l'extension Firebug, sélectionnez l'onglet Net, et survolez manuellement ma souris sur chaque élément pour voir l'URL complète. Malheureusement, cela peut prendre un certain temps si vous avez des dizaines de fichiers multimédias. Est-il possible de mieux?
La solution
Note, dans les versions récentes de Chrome, ces erreurs sera affiché dans la console Javascript.
par exemple.
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
Autres conseils
Essayez:. www.WhyNoPadlock.com Il vous donnera un rapport de tout le contenu non sécurisé sur une page Web https
Vous pouvez utiliser SslCheck
Il est un outil en ligne gratuit qui rampent un site récursive (suivant tous les liens internes) et des analyses pour le contenu non sécurisé -. Images, scripts et CSS
(disclaimer: Je suis l'un des développeurs)
Récemment eu le même problème, en utilisant il était plus facile de trouver chrome outil de développement .. Dans l'outil développeur aller à Sécurité , vous pouvez trouver toutes les demandes de non-https
Fiddler.
demandes sécurisées ne seront pas visibles du tout (sauf HTTPS CONNECT, qui peut être caché), donc tout ce que vous verrez est mauvais.
J'ai eu ce problème qui a eu lieu dans un javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
src = javascript:. Void (0) doit être évitée
Vous ne pouvez pas trouver ce problème en utilisant Fiddler ou Chrome.
Vous pouvez consulter https://www.missingpadlock.com/
est un outil en ligne pour explorer votre site pour les pages non sécurisées de trouver.
Si vous possédez le site, vous devriez regarder dans l'en-tête de Content-Security-Policy options. Ceux-ci peuvent inclure lorsque le protocole HTTPS sur les ressources, ou tenter automatiquement Réorienter les ressources HTTP vers HTTPS, entre autres.
En particulier, il y a aussi un report-uri directive pour la étroitement liés Content-Security-Policy-Report-Only tête qui signale toute infraction de votre CSP à un uri de votre choix. Cela signifie que tout navigateur avec 1 pour report-uri vous envoyer des rapports de pages sur votre site avec des problèmes HTTPS sur une base continue. Mozilla Developer Network a un exemple de PHP de manipulation les rapports.
1 Notez que si vous pouvez raisonnablement attendre any navigateur avec le soutien complet CSP (RO) de frapper les pages en question, il importe que certains navigateurs font pas soutien.
Je veux juste laisser une note sur ce qui est arrivé à moi quand ce problème a surgi.
Tout à coup, mon domaine a montré « mixte: éléments non sécurisés ». Je ne pouvais pas trouver la cause du tout. La console était juste montrer une image a été demandée: http://www.example.com/, que je ne pouvais trouver aucune référence à où .
J'ai cherché et cherché et finalement trouvé que, dans l'onglet Sécurité de Chrome, où il déployait « Insecure contenu » il a dit: «Afficher dans le réseau Tab. Quand je clique sur cela, il me montrait la mauvaise URL, encore une fois, aucune information en dehors de la Initiatior colonne. Il montrait le footer_bg.jpg d'image.
quelqu'un avait injecté du code dans mon image d'arrière-plan de bas de page Je me suis demandé? Il se trouve que non, j'avais déplacé par inadvertance cette image hier et oublié. Ainsi, la page demandait une image qui n'était pas là, retourner une erreur. Je fixe le lien vers l'image et la page des charges en toute sécurité à nouveau.
Juste pour quelqu'un d'autre qui peut avoir ce problème à l'avenir.
Utilisez Burp Suite , mis en place le cadre de votre site Web, accédez à la page sécurisée et vérifier que la demande sont faites à la version HTTP de votre site.
Si vous voulez un one-shot, raisonnable complet, recherche récursive d'un site Web entier, vous pouvez utiliser de Bramus mixed-content-scan de la CLI. Il ne vérifie pas les liens dans JS / CSS supplémentaire, mais il est bon de trouver qu'un poste que le stagiaire de 3 ans il y a mis en place avec un script non-SSL dangereux.
Pour un en cours solution, voir mon autre réponse .
