Recherche de tout le contenu non sécurisé sur une page sécurisée
Quelle est la façon la plus efficace de trouver une liste de toutes les URL non HTTPS demandées par une page HTTPS? Si ce type de violation de sécurité se produit, chaque navigateur avertit l'utilisateur, mais je ne trouve pas de moyen simple de trouver les URL exactes à l'origine de la violation.
Le moyen le plus simple que j'ai trouvé jusqu'à présent est d'utiliser Firefox, mais même alors, ce n'est toujours pas très pratique. Tout d'abord, je peux faire un clic droit, sélectionner Afficher les informations sur la page, cliquer sur l'onglet Média et faire défiler une liste d'URL. Cependant, cela semble répertorier uniquement les fichiers image, pas les inclusions CSS ou JS qui peuvent également provoquer l'erreur. Pour ceux-ci, je dois utiliser l'extension Firebug, sélectionner l'onglet Net et passer manuellement ma souris sur chaque élément pour voir l'URL entière. Malheureusement, cela peut prendre un certain temps si vous avez des dizaines de fichiers multimédias. Y a-t-il une meilleure façon?
Notez que dans les versions récentes de Chrome, ces erreurs seront affichées dans la console Javascript.
par exemple.
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
Essayez: www.WhyNoPadlock.com Il vous donnera un rapport de tout contenu non sécurisé sur n'importe quelle page Web https.
Vous pouvez utiliser SslCheck
Il s'agit d'un outil en ligne gratuit qui explore un site Web de manière récursive (en suivant tous les liens internes) et recherche le contenu non sécurisé - images, scripts et CSS.
(Avertissement: je suis l'un des développeurs)
Récemment eu le même problème, en utilisant chrome outil de développement, il était plus facile à trouver .. Dans l'outil de développement, allez dans l'onglet Sécurité , vous peut trouver toutes les demandes non https
J'ai eu ce problème qui s'est produit dans un javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
Le src = javascript: void (0) doit être évité.
Vous ne pouvez pas trouver ce problème en utilisant Fiddler ou Chrome.
Utilisez Fiddler.
Les demandes sécurisées n'apparaîtront pas du tout (sauf en tant que CONNECTIONS HTTPS, qui peuvent être masquées), donc tout ce que vous verrez est mauvais.
Vous pouvez vérifier https://www.missingpadlock.com/
Est un outil en ligne pour explorer votre site pour trouver des pages non sécurisées.
Si vous êtes propriétaire du site Web, vous devez vérifier le Content-Security-Policy options d'en-tête. Celles-ci peuvent inclure forçant HTTPS sur les ressources, ou essayant automatiquement de rediriger les ressources HTTP vers HTTPS, entre autres choses.
Il y a notamment un report-uri directive pour la relation étroitement liée Content-Security-Policy-Report-Only header qui signale toutes les infractions à votre CSP à un uri de votre choix. Cela signifie que tout navigateur prenant en charge1 pour report-uri vous enverra régulièrement des rapports sur les pages de votre site présentant des problèmes HTTPS . Mozilla Developer Network a a PHP exemple de gestion des rapports.
1 Notez que si vous pouvez raisonnablement vous attendre tout navigateur avec prise en charge complète de CSP (RO) pour atteindre les pages en question, peu importe que certains navigateurs le fassent pas de support pour cela.
Je veux juste laisser une note sur ce qui m'est arrivé lorsque ce problème est survenu.
Soudain, mon domaine a montré "Mixed: Insecure Items". Je n'ai pas pu trouver la cause du tout. La console montrait juste qu'une image était demandée: http://www.example.com/, Auquel je n'ai pu trouver aucune référence nulle part .
J'ai cherché et cherché et finalement trouvé que dans l'onglet Sécurité de Chrome, où il affichait "Contenu non sécurisé", il disait "Afficher dans l'onglet Réseau". Quand j'ai cliqué dessus, cela me montrait la mauvaise URL, encore une fois, sans aucune information à part la colonne Initiatior. Il montrait l'image footer_bg.jpg.
Quelqu'un avait-il injecté du code dans mon image d'arrière-plan de pied de page, me suis-je demandé? Il s'avère que non, j'avais déplacé cette image par inadvertance hier et je l'avais oublié. La page demandait donc une image qui n'était pas là, renvoyant une erreur. J'ai corrigé le lien vers l'image et la page se charge en toute sécurité à nouveau.
Juste pour quelqu'un d'autre qui pourrait avoir ce problème à l'avenir.
Utilisez Burp Suite , configurez la portée en tant que site Web, accédez à la page sécurisée et vérifiez quelles demandes sont envoyées à la version HTTP de votre site Web.
Si vous souhaitez une analyse récursive ponctuelle et raisonnablement complète d'un site Web entier, vous pouvez utiliser mixed-content-scan de Bramus à partir de la CLI. Il ne vérifiera pas les liens dans JS/CSS supplémentaire, mais c'est génial pour trouver ce post que le stagiaire d'il y a 3 ans a mis en place avec un dangereux script non SSL.
Pour une solution en cours , voir mon autre réponse .