آشنایی با ابزار InsecRes

ابزاری برای یافتن ایرادات امنیتی در منابع وب‌سایت

این متن رو دوازده ماه پیش نوشتم.

دانلود نسخه‌ی چاپی (PDF)

از روی این مطلب، یه نسخه‌ی چاپی هم میتونید داشته باشید!

بعد از اینکه وب‌سایت خودتون رو به HTTPS ارتقا دادید، حتما براتون سوال میشه که چطور میتونید آزمایش کنید که منابع مختلف، مثل عکس‌ها، فرم‌ها، ویديو‌ها و غیره به درستی از پورت‌های امنیتی استفاده میکنن و یا احیانا مشکلی تو اتصال امن ندارن؟

 یکی از مشکلات من هم دقیقا همین مسئله بود که بعد از یکم جست‌وجو با این ابزار (InsecRes) آشنا شدم.

این‌سک‌رس یه ابزار کوچیک و اپن‌سورسه که تحت cli کار میکنه و وظیفش پیدا کردن منابع نا امن در وب‌سایت‌های دارای https هست. از جمله مزایای این ابزار، نوشته شدنش به زبان go هست که من رو خیلی خوشحال کرد. شاید چون خودمم با گو برنامه‌نویسی میکنم و  با ساختار برنامه‌های نوشته‌شده باهاش آشنایی دارم. باید بگم که این ابزار دقیقا از کانکارنسی‌های گو استفاده میکنه و مولتی‌ترد هست (گوروتین‌ها) که وب‌سایت رو کراول (برای درک معنی این کلمه میتونید به واژه‌نامه سایت سر بزنید) می‌کنه.

این ابزار با کراول کردن وب‌سایت، منابعی مثل img، iframe، object، audio، video، source و track رو اسکن میکنه. و برای اینکه از بلک‌لیست شدنش تو سرور جلوگیری کنه، تاخیرهای رندومی رو بین هر ریکوئست اعمال میکنه.

نصب و راه‌اندازیش

اول از همه باید GO رو تو سیستم‌عاملتون نصب داشته‌باشید. برای  همین من از مرحله نصب گو میگذرم و به نصب این‌سک‌رس میرم

 

go get github.com/kkomelin/insecres

که باهاش این‌سک‌رس نصب میشه

$GOPATH/bin/insecres https://site-shoma.com

که کافیه آدرس سایتتون رو به عنوان پارامتر اول، با داشتن https بدید و صبر کنید تا چک کنه. اگر جوابی نده یعنی همه‌چیز اوکی بوده. اگر خواستید که خروجی رو تو یه فایل csv ذخیره کنید، کد زیر رو اجرا کنید:

$GOPATH/bin/insecres -f="/addresse/file/gozaresh.csv" https://site-shoma.com
برگردیم به بالای صفحه