Trovando tutti insicuro del contenuto su una pagina protetta
-
12-10-2019 - |
Domanda
Qual è il modo più efficace per trovare un elenco di tutti i non-HTTPS URL richiesto da una pagina HTTPS? Se questo tipo di violazione della sicurezza accade, tutti i browser avvisa l'utente, ma non riesco a trovare un modo semplice per trovare quello esatto URL causa della violazione.
Il modo più semplice che ho trovato finora è quello di usare Firefox, ma anche allora non è ancora molto conveniente. In primo luogo, posso pulsante destro del mouse, selezionare Visualizza informazioni pagina, fare clic sulla scheda Supporti e scorrere un elenco di URL. Tuttavia, questo sembra solo i file di immagine lista, CSS o JS comprende che possono anche causare l'errore. Per coloro che, devo utilizzare l'estensione Firebug, selezionare la scheda Rete, e manualmente hover il mouse su ogni voce per visualizzare l'intero URL. Purtroppo, questo può richiedere un po 'se si dispone di decine di file multimediali. C'è un modo migliore?
Soluzione
Nota, nelle ultime versioni di Chrome, questi errori verrà visualizzato nella console di Javascript.
per es.
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
Altri suggerimenti
Prova:. www.WhyNoPadlock.com Vi darà un report di tutti i contenuti insicuro su qualsiasi pagina web https
È possibile utilizzare SslCheck
E 'uno strumento online gratuito che striscia un sito web in modo ricorsivo (seguendo tutti i link interni) e le scansioni per i contenuti non protetta -. Immagini, script e CSS
(disclaimer: io sono uno degli sviluppatori)
Usa Fiddler.
richieste Sicuro non verrà mostrato a tutti (ad eccezione di quanto HTTPS collega, che può essere nascosto), quindi tutto quello che vedrete è male.
Ho avuto questo problema che si è verificato in una javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
Il src = javascript:. Void (0) dovrebbe essere evitato
Non è possibile trovare questo problema utilizzando Fiddler o Chrome.
È possibile controllare https://www.missingpadlock.com/
È uno strumento on-line per la scansione del tuo sito per le pagine non sicure find.
Se si è proprietari del sito web, si dovrebbe guardare in l'intestazione Content-Security-Policy
opzioni. Questi possono includere costringendo HTTPS sulle risorse, o tentare automaticamente reindirizzamento HTTP risorse a HTTPS, tra le altre cose.
In particolare, v'è anche una report-uri
direttiva per la strettamente correlata Content-Security-Policy-Report-Only
intestazione che riporta eventuali infrazioni del vostro CSP a un URI di tua scelta. Questo significa che qualsiasi browser con supporto 1 per report-uri
ti invierà segnalazioni di pagine del tuo sito con il problematico HTTPS su base continuativa. Mozilla Developer Network ha un esempio PHP di movimentazione i rapporti.
1 Si noti che se si può ragionevolmente aspettarsi alcun supporto browser con piena CSP (RO) per colpire le pagine in questione, non importa che alcuni browser fanno non hanno il supporto per esso.
Voglio solo lasciare una nota su quello che è successo a me quando questo problema è sorto.
Improvvisamente il mio dominio ha mostrato 'misti: oggetti non protetti'. Non riuscivo a trovare la causa a tutti. La console è stata solo mostrando un'immagine veniva richiesto: http://www.example.com/
, che non riuscivo a trovare alcun riferimento a ovunque .
Ho cercato e cercato e alla fine ha scoperto che nella scheda di sicurezza di Chrome, dove si stava visualizzando 'Insicuro Content', si legge 'Mostra nella Scheda Rete'. Quando ho cliccato che, Mi stava mostrando il cattivo URL, ancora una volta, con nessuna informazione a parte il iniziatore Colonna. Si stava mostrando l'footer_bg.jpg
immagine.
Qualcuno aveva iniettato codice in mia immagine di sfondo footer mi sono chiesto? Si scopre che no, non avevano inavvertitamente spostato quell'immagine ieri e se ne dimenticò. Così la pagina è stata richiede un'immagine che non c'era, restituendo un errore. Ho sistemato il link ai carichi di immagini e pagina di nuovo in modo sicuro.
Solo per chiunque altro che possibilmente avrà questo problema in futuro.
Burp Suite , configurare l'ambito come il vostro sito web, accedere alla pagina sicura e verificare quali richiesta sono fatti alla versione HTTP del tuo sito web.
Se si desidera un one-shot, ragionevolmente-completa, scansione ricorsiva di un intero sito web, è possibile utilizzare di Bramus mixed-content-scan
dalla CLI. Non sarà controllare i collegamenti in supplementare JS / CSS, ma è grande per la ricerca di quella post che il tirocinante da 3 anni fa ha messo su con uno script non SSL pericoloso.
Per un in corso soluzione, vedere mia altra risposta .