Trovando tutti insicuro del contenuto su una pagina protetta

StackOverflow https://stackoverflow.com/questions/4728507

Domanda

Qual è il modo più efficace per trovare un elenco di tutti i non-HTTPS URL richiesto da una pagina HTTPS? Se questo tipo di violazione della sicurezza accade, tutti i browser avvisa l'utente, ma non riesco a trovare un modo semplice per trovare quello esatto URL causa della violazione.

Il modo più semplice che ho trovato finora è quello di usare Firefox, ma anche allora non è ancora molto conveniente. In primo luogo, posso pulsante destro del mouse, selezionare Visualizza informazioni pagina, fare clic sulla scheda Supporti e scorrere un elenco di URL. Tuttavia, questo sembra solo i file di immagine lista, CSS o JS comprende che possono anche causare l'errore. Per coloro che, devo utilizzare l'estensione Firebug, selezionare la scheda Rete, e manualmente hover il mouse su ogni voce per visualizzare l'intero URL. Purtroppo, questo può richiedere un po 'se si dispone di decine di file multimediali. C'è un modo migliore?

È stato utile?

Soluzione

Nota, nelle ultime versioni di Chrome, questi errori verrà visualizzato nella console di Javascript.

per es. 

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Altri suggerimenti

Prova:. www.WhyNoPadlock.com Vi darà un report di tutti i contenuti insicuro su qualsiasi pagina web https

È possibile utilizzare SslCheck

E 'uno strumento online gratuito che striscia un sito web in modo ricorsivo (seguendo tutti i link interni) e le scansioni per i contenuti non protetta -. Immagini, script e CSS

(disclaimer: io sono uno degli sviluppatori)

Di recente ho avuto lo stesso problema, utilizzando Chrome strumento di sviluppo è stato più facile da trovare .. In sviluppatore strumento Vai alla Sicurezza , si possono trovare tutti i non-HTTPS richiesta

entrare descrizione dell'immagine qui

Usa Fiddler.

richieste Sicuro non verrà mostrato a tutti (ad eccezione di quanto HTTPS collega, che può essere nascosto), quindi tutto quello che vedrete è male.

Ho avuto questo problema che si è verificato in una javascript: 

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Il src = javascript:. Void (0) dovrebbe essere evitato

Non è possibile trovare questo problema utilizzando Fiddler o Chrome.

È possibile controllare https://www.missingpadlock.com/

È uno strumento on-line per la scansione del tuo sito per le pagine non sicure find.

Se si è proprietari del sito web, si dovrebbe guardare in l'intestazione Content-Security-Policy opzioni. Questi possono includere costringendo HTTPS sulle risorse, o tentare automaticamente reindirizzamento HTTP risorse a HTTPS, tra le altre cose.

In particolare, v'è anche una report-uri direttiva per la strettamente correlata Content-Security-Policy-Report-Only intestazione che riporta eventuali infrazioni del vostro CSP a un URI di tua scelta. Questo significa che qualsiasi browser con supporto 1 per report-uri ti invierà segnalazioni di pagine del tuo sito con il problematico HTTPS su base continuativa. Mozilla Developer Network ha un esempio PHP di movimentazione i rapporti.

1 Si noti che se si può ragionevolmente aspettarsi alcun supporto browser con piena CSP (RO) per colpire le pagine in questione, non importa che alcuni browser fanno non hanno il supporto per esso.

Voglio solo lasciare una nota su quello che è successo a me quando questo problema è sorto.

Improvvisamente il mio dominio ha mostrato 'misti: oggetti non protetti'. Non riuscivo a trovare la causa a tutti. La console è stata solo mostrando un'immagine veniva richiesto: http://www.example.com/, che non riuscivo a trovare alcun riferimento a ovunque .

Ho cercato e cercato e alla fine ha scoperto che nella scheda di sicurezza di Chrome, dove si stava visualizzando 'Insicuro Content', si legge 'Mostra nella Scheda Rete'. Quando ho cliccato che, Mi stava mostrando il cattivo URL, ancora una volta, con nessuna informazione a parte il iniziatore Colonna. Si stava mostrando l'footer_bg.jpg immagine.

Qualcuno aveva iniettato codice in mia immagine di sfondo footer mi sono chiesto? Si scopre che no, non avevano inavvertitamente spostato quell'immagine ieri e se ne dimenticò. Così la pagina è stata richiede un'immagine che non c'era, restituendo un errore. Ho sistemato il link ai carichi di immagini e pagina di nuovo in modo sicuro.

Solo per chiunque altro che possibilmente avrà questo problema in futuro.

Burp Suite , configurare l'ambito come il vostro sito web, accedere alla pagina sicura e verificare quali richiesta sono fatti alla versione HTTP del tuo sito web.

Se si desidera un one-shot, ragionevolmente-completa, scansione ricorsiva di un intero sito web, è possibile utilizzare di Bramus mixed-content-scan dalla CLI. Non sarà controllare i collegamenti in supplementare JS / CSS, ma è grande per la ricerca di quella post che il tirocinante da 3 anni fa ha messo su con uno script non SSL pericoloso.

Per un in corso soluzione, vedere mia altra risposta .

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top