1. Inicio
  2. Pregunta y respuesta
  3. Encontrar todo el contenido inseguro en una página segura

Encontrar todo el contenido inseguro en una página segura

2011-01-18 15 views
55

¿Cuál es la forma más eficiente de encontrar una lista de todas las URL no HTTPS solicitadas por una página HTTPS? Si ocurre este tipo de violación de la seguridad, cada navegador alerta al usuario, pero no puedo encontrar una manera fácil de encontrar qué URL exactas causan la infracción.Encontrar todo el contenido inseguro en una página segura

La forma más fácil que he encontrado hasta ahora es utilizar Firefox, pero incluso así todavía no es muy conveniente. Primero, puedo hacer clic con el botón derecho, seleccionar Ver información de página, hacer clic en la pestaña Medios y desplazarme por una lista de URL. Sin embargo, esto parece solo mostrar los archivos de imagen, no CSS o JS incluye que también pueden causar el error. Para ellos, tengo que usar la extensión Firebug, seleccionar la pestaña de Red y mover manualmente el mouse sobre cada elemento para ver la URL completa. Desafortunadamente, esto puede demorar un tiempo si tienes docenas de archivos multimedia. ¿Hay una mejor manera?

Fuente

2011-01-18 Cerin

+0

Puede consultar el [complemento TamperData] (https://addons.mozilla.org/en-US/firefox/addon/tamper-data/) para Firefox. – Pointy

+0

Sé que esta es una publicación anterior, pero tal vez esto ayude a alguien, hay una aplicación de escritorio que puede usar para escanear e informar sobre problemas de contenido mixto en un sitio completo: https://www.ecommerce.co.uk/httpschecker. También puede solicitar resultados de escaneo por correo electrónico :) – stilliard

Respuesta

87

Tenga en cuenta que, en las versiones recientes de Chrome, estos errores se mostrarán en la consola de Javascript.

p. Ej.

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Fuente

2011-11-18 19:45:56 Cerin

+1

esta es la mejor manera – Obie

+5

En Firefox, las solicitudes HTTP enviadas desde una conexión HTTPS se pueden ver en rojo en la consola web ('Herramientas'>' Desarrollador web'> 'Consola web' o' Ctrl' + 'Shift '+' K'). – AxeEffect

+2

Si usa consolas de Chrome o Firefox y aún no ve la solicitud de inseguridad de HTTP, tendrá que usar Fiddler o WhyNoP adlock.com como se sugiere a continuación. – AxeEffect

5

Usar Fiddler.

Las solicitudes seguras no se mostrarán en absoluto (excepto como CONEXIONES HTTPS, que pueden ocultarse), por lo que todo lo que verá es malo.

Fuente

2011-01-18 20:10:10 SLaks

+0

Por desgracia, estoy en Linux y dice que requiere Windows. ¿Funciona en absoluto bajo Mono? – Cerin

+1

Supongo que no, pero no sé. – SLaks

+2

requiere ventanas :( – Obie

30

Probar: www.WhyNoPadlock.com Le dará un informe de todo el contenido inseguro en cualquier página web https.

Fuente

2011-03-20 14:04:32

+5

No ayuda con el contenido que requiere autenticación – Obie

+2

Me gusta mejor la respuesta de @ Rob. El sitio que compartió le dice exactamente qué elementos son inseguros. Mi problema era que las fuentes de Google se solicitaban sin https y el sitio se guardaba Me pasa mucho tiempo revisando mis archivos, así que busque https en todos mis includes. – pmalbu

+0

La herramienta dice que no se encontró contenido inseguro mientras una herramienta compartida por otro usuario a continuación (SslCheck) dice que hay seis páginas con enlaces inseguros (que son reales culpable) – Alam

5

Tenía este problema que se produjo en un javascript:

/* for Internet Explorer */ 
/*@cc_on @*/ 
/*@if (@_win32) 
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>"); 
(.....)

El src = javascript: void (0) debe ser evitado.

No puede encontrar este problema usando Fiddler o Chrome.

Fuente

2012-02-22 10:43:12

0

Use Burp Suite, configure el alcance como su sitio web, busque la página segura y compruebe qué solicitud se realiza a la versión HTTP de su sitio web.

Fuente

2012-02-23 14:44:53

10

Puede utilizar SslCheck

Es una herramienta gratuita en línea que se arrastra una página web de forma recursiva (siguiendo todos los enlaces internos) y escanea para contenido no segura - imágenes, scripts y CSS.

(exención de responsabilidad: Soy uno de los desarrolladores)

Fuente

2014-08-20 22:12:57 Alex

+1

Si bien este enlace puede responder a la pregunta, es mejor incluir las partes esenciales de la respuesta aquí y proporcionar el enlace de referencia. Las respuestas de solo enlace pueden dejar de ser válidas si la página vinculada cambia. – Raedwald

+4

@Raedwald Es una herramienta en línea. ¿Cómo se incluyen las partes esenciales de eso aquí? – Mike

+2

Buena herramienta, pero no está verificando '

' elementos.En mi caso, un sitio estaba implementando su búsqueda con '' que activó la advertencia de Chrome. –

3

Recientemente tuvimos el mismo problema, el uso de la herramienta para desarrolladores de Chrome que era más fácil de encontrar .. En herramienta de desarrollo vaya a Seguridad ficha, se puede encontrar toda no HTTPS solicitan

enter image description here

Fuente

2017-01-28 16:26:13

0

Si es el propietario del sitio web, usted debe buscar en the Content-Security-Policy header options. Estos pueden incluir forcing HTTPS on resources, o intentar automáticamente a redirect HTTP resources to HTTPS, entre otras cosas.

Cabe destacar que también existe una directiva report-uri para el estrechamente relacionado Content-Security-Policy-Report-Only header que informa las infracciones de su CSP a un uri de su elección. Esto significa que cualquier navegador con soporte para report-uri le enviará informes de páginas en su sitio con el problemático HTTPS de manera continua. Mozilla Developer Network tiene a PHP example para manejar los informes.

Tenga en cuenta que si se puede esperar razonablemente cualquier navegador con soporte completo CSP (RO) para golpear las páginas en cuestión, no importa que algunos navegadores no tienen soporte para el mismo.

Fuente

2017-05-05 16:14:13 Michael

0

Solo quiero dejar una nota sobre lo que me sucedió cuando surgió este problema.

De repente mi dominio mostró 'Mixed: Insecure Items'. No pude encontrar la causa en absoluto. La consola solo mostraba que se estaba solicitando una imagen: http://www.example.com/, que no pude encontrar ninguna referencia a en cualquier parte.

He buscado y buscado y, finalmente, encontré que en la pestaña Seguridad de Chrome, donde se mostraba 'Contenido inseguro' decía 'Mostrar en la pestaña de red'. Cuando hice clic en eso, me estaba mostrando la URL incorrecta, una vez más, sin información aparte de la Initiatior columna. Mostraba la imagen footer_bg.jpg.

¿Alguien me había inyectado el código en la imagen de fondo de mi pie de página, me pregunté? Resulta que no, ayer moví esa imagen sin querer y me olvidé de ella. Entonces la página solicitaba una imagen que no estaba allí y devolvía un error. Repare el enlace a la imagen y la página se carga de forma segura nuevamente.

Simplemente para cualquier otra persona que posiblemente tenga este problema en el futuro.

Fuente

2017-09-15 09:22:13 Chud37

Cuestiones relacionadas

 Cuestiones relacionadas