webdevqa.jp.net

安全なページですべての安全でないコンテンツを見つける

HTTPSページによって要求されたすべての非HTTPS URLのリストを見つける最も効率的な方法は何ですか?この種のセキュリティ違反が発生すると、すべてのブラウザーがユーザーに警告しますが、正確なURLが違反の原因を見つける簡単な方法を見つけることはできません。

私がこれまでに見つけた最も簡単な方法は、Firefoxを使用することですが、それでもなお、あまり便利ではありません。まず、右クリックして[ページ情報の表示]を選択し、[メディア]タブをクリックして、URLのリストをスクロールします。ただし、これはエラーを引き起こす可能性のあるCSSまたはJSインクルードではなく、画像ファイルのみをリストしているようです。それらについては、Firebug拡張機能を使用し、[Net]タブを選択し、各アイテムの上にマウスを手動で移動して、URL全体を表示する必要があります。残念ながら、多数のメディアファイルがある場合、これには時間がかかることがあります。もっと良い方法はありますか?

62
Cerin

Chromeの最近のバージョンでは、これらのエラーはJavascriptコンソールに表示されることに注意してください。

例えば.

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
96
Cerin

試してみてください www.WhyNoPadlock.com httpsウェブページ上のすべての安全でないコンテンツのレポートを提供します。

33
Rob Mangiafico

SslCheck を使用できます

Webサイトを再帰的にクロールし(すべての内部リンクをたどって)、セキュリティで保護されていないコンテンツ(画像、スクリプト、CSS)をスキャンする無料のオンラインツールです。

(免責事項:私は開発者の一人です)

12
Alex

私はjavascriptで発生したこの問題を抱えていました:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Src = javascript:void(0)は使用しないでください。

FiddlerまたはChromeを使用してこの問題を見つけることはできません。

5

Fiddlerを使用します。

セキュリティで保護された要求はまったく表示されないため(非表示にできるHTTPS CONNECTを除く)、表示されるものはすべて不良です。

5
SLaks

確認できます https://www.missingpadlock.com/

安全でないページを見つけるためにサイトをクロールするためのオンラインツールです。

3
David Motilla

Webサイトを所有している場合は、 Content-Security-Policyヘッダーオプションを確認する必要があります。 これらには、 リソースへのHTTPSの強制、 、または HTTPリソースをHTTPSにリダイレクトする、 など。

特に、CSPの違反を報告する密接に関連する report-uri headerContent-Security-Policy-Report-Only ディレクティブもあります。あなたの選んだウリへ。これは、サポートされているブラウザ1 for report-uriは、問題のあるHTTPSを使用してサイトのページのレポートを継続的に送信します。Mozilla Developer Networkは PHPレポートの処理の例


1 問題のページにヒットするために完全なCSP(RO)サポートを備えたanyブラウザーを合理的に期待できる場合は、一部のブラウザーがそれをサポートしていません。

2
Michael

この問題が発生したときに私に何が起こったかについてのメモを残したいだけです。

突然、私のドメインに「Mixed:Insecure Items」と表示されました。原因がまったく見つかりませんでした。コンソールには、画像がリクエストされていることが表示されていました:http://www.example.com/anywhereへの参照が見つかりませんでした。

検索して検索した結果、Chromeの[セキュリティ]タブで「安全でないコンテンツ」が表示されていたところ、「ネットワークタブに表示」と表示されていました。私がそれをクリックしたとき、それはInitiatior列以外の情報なしで、再び悪いURLを見せていました。画像を表示していたfooter_bg.jpg

誰かが私のフッターの背景画像にコードを挿入したのだろうか?いいえ、昨日そのイメージをうっかり動かして忘れてしまったのです。そのため、ページはそこにない画像を要求し、エラーを返していました。画像へのリンクを修正し、ページを再度安全に読み込みました。

将来この問題を抱える可能性のある他の人のために。

1
Chud37

Burp Suite を使用し、スコープをWebサイトとして設定し、セキュリティで保護されたページを参照して、WebサイトのHTTPバージョンに対して行われたリクエストを確認します。

0
Pedro Laguna

ウェブサイト全体を一度だけ、合理的に包括的に、再帰的にスキャンしたい場合は、Bramusの mixed-content-scan CLIから。補足のJS/CSSのリンクはチェックしませんが、3年前のインターンが危険な非SSLスクリプトを作成した1つの投稿を見つけるのに最適です。

ongoingソリューションについては、 my other answer を参照してください。

0
Michael