Scan hjemmeside der bruger https

[Blueeyez]

Jeg kunne godt tænke mig at høre om nogen kender et terminal script/værktøj - Browser tilføjesle/side som kan scanne en hjemmeside for https -> http (Altså hop hvor siden bruger http og ikke hettps).

Jeg har nogle sider og tænker os at dette burde eksistere, men jeg ved os selv at jeg selv antog at alting ville være fint hvis jeg valgte http -> https hos min webhost, men nu er jeg lidt i tvivl.. og vil derfor godt scanne hjemmesiden igennem.. Det kræver jo nok at en bruger kan logge på siden for at teste det fuldt ud, men den del er nu os det mindste problem

Nogle forslag?
Fik afvide at i kildekoden var der http links, men nu er jeg ikke på et professionelt niveau og derfor hoppede jeg til den del at man vel kan scanne siden.. Altså ligesom der findes anti virus software

[AJenbo]

Kode: Vælg alt

wget -d http://ubuntuesbjerg.dk/

DEBUG output created by Wget 1.15 on linux-gnu.

URI encoding = 'UTF-8'
--2015-01-22 13:56:03-- http://ubuntuesbjerg.dk/
Løser ubuntuesbjerg.dk (ubuntuesbjerg.dk)... 77.232.74.235, 2a01:3b0:a00:7:146e:9249::
Caching ubuntuesbjerg.dk => 77.232.74.235 2a01:3b0:a00:7:146e:9249::
Tilslutter ubuntuesbjerg.dk (ubuntuesbjerg.dk)|77.232.74.235|:80... forbundet.
Created socket 3.
Releasing 0x0000000001584fb0 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.15 (linux-gnu)
Accept: */*
Host: ubuntuesbjerg.dk
Connection: Keep-Alive

---request end---
HTTP forespørgsel sendt, afventer svar...
---response begin---
HTTP/1.1 302 Found
Date: Thu, 22 Jan 2015 12:56:02 GMT
Server: Apache
Location: https://ubuntuesbjerg.dk/
Content-Length: 209
Connection: close
Content-Type: text/html; charset=iso-8859-1

---response end---
302 Found
URI content encoding = 'iso-8859-1'
Sted: https://ubuntuesbjerg.dk/ [omdirigeret]
Closed fd 3
URI content encoding = None
--2015-01-22 13:56:03-- https://ubuntuesbjerg.dk/
Found ubuntuesbjerg.dk in host_name_addresses_map (0x1584fb0)
Tilslutter ubuntuesbjerg.dk (ubuntuesbjerg.dk)|77.232.74.235|:443... forbundet.
Created socket 3.
Releasing 0x0000000001584fb0 (new refcount 1).
Initiating SSL handshake.
Handshake successful; connected socket 3 to SSL handle 0x00000000015aae90
certificate:
subject: /OU=Domain Control Validated/OU=Hosted by Servage GmbH/OU=PositiveSSL/CN=ubuntuesbjerg.dk
issuer: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
X509 certificate successfully verified and matches host ubuntuesbjerg.dk

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.15 (linux-gnu)
Accept: */*
Host: ubuntuesbjerg.dk
Connection: Keep-Alive

---request end---
HTTP forespørgsel sendt, afventer svar...
---response begin---
HTTP/1.1 200 OK
Date: Thu, 22 Jan 2015 12:56:03 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 2653
Content-Type: text/html
Set-Cookie: PHPSESSID=c3ec11b14bc3b113d21fc01b1e495a7c; path=/
Connection: close

---response end---
200 OK

Stored cookie ubuntuesbjerg.dk -1 (ANY) / <session> <insecure> [expiry none] PHPSESSID c3ec11b14bc3b113d21fc01b1e495a7c
Længde: 2653 (2,6K) [text/html]
Gemmer til: 'index.html.3'

100%[===========================================================================================>] 2.653 --.-K/s om 0s

Closed 3/SSL 0x00000000015aae90
2015-01-22 13:56:03 (202 MB/s) - 'index.html.3' gemt [2653/2653]

Som du kan se her sender siden en direkte til https://ubuntuesbjerg.dk/ hvis man indtaster http://ubuntuesbjerg.dk/

Den gør det dog ikke via 301 som ville indikere at det er permanent, og den har ikke defineret HSTS så browseren ville ikke selv huske det til næste gang. Forbindelsen er først krypteret efter der står "Initiating SSL handshake.".

Her er det tilsvarende for ubuntudanmark:

DEBUG output created by Wget 1.15 on linux-gnu.

URI encoding = 'UTF-8'
--2015-01-22 14:00:26-- http://ubuntudanmark.dk/
Løser ubuntudanmark.dk (ubuntudanmark.dk)... 31.192.231.5, 2a02:750:5::4c1
Caching ubuntudanmark.dk => 31.192.231.5 2a02:750:5::4c1
Tilslutter ubuntudanmark.dk (ubuntudanmark.dk)|31.192.231.5|:80... forbundet.
Created socket 3.
Releasing 0x00000000024e3fb0 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.15 (linux-gnu)
Accept: */*
Host: ubuntudanmark.dk
Connection: Keep-Alive

---request end---
HTTP forespørgsel sendt, afventer svar...
---response begin---
HTTP/1.1 301 Moved Permanently
Date: Thu, 22 Jan 2015 13:00:26 GMT
Server: Apache
Location: https://ubuntudanmark.dk/
Cache-Control: max-age=2592000
Expires: Sat, 21 Feb 2015 13:00:26 GMT
Vary: Accept-Encoding
Content-Length: 343
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

---response end---
301 Moved Permanently
Registered socket 3 for persistent reuse.
URI content encoding = 'iso-8859-1'
Sted: https://ubuntudanmark.dk/ [omdirigeret]
Skipping 343 bytes of body: [<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https://ubuntudanmark.dk/">here</a&gt;.</p>
<hr>
<address>Apache Server at <a href="mailto:forum@ubuntudanmark.dk">ubuntudanmark.dk</a> Port 80</address>
</body></html>
] done.
URI content encoding = None
--2015-01-22 14:00:26-- https://ubuntudanmark.dk/
Found ubuntudanmark.dk in host_name_addresses_map (0x24e3fb0)
Tilslutter ubuntudanmark.dk (ubuntudanmark.dk)|31.192.231.5|:443... forbundet.
Created socket 4.
Releasing 0x00000000024e3fb0 (new refcount 1).
Initiating SSL handshake.
Handshake successful; connected socket 4 to SSL handle 0x0000000002509eb0
certificate:
subject: /OU=Domain Control Validated/OU=Gandi Standard SSL/CN=ubuntudanmark.dk
issuer: /C=FR/O=GANDI SAS/CN=Gandi Standard SSL CA
X509 certificate successfully verified and matches host ubuntudanmark.dk

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.15 (linux-gnu)
Accept: */*
Host: ubuntudanmark.dk
Connection: Keep-Alive

---request end---
HTTP forespørgsel sendt, afventer svar...
---response begin---
HTTP/1.1 200 OK
Date: Thu, 22 Jan 2015 13:00:26 GMT
Server: Apache
X-Powered-By: PHP/5.3.28-1~dotdeb.0
Vary: Accept-Encoding,Cookie
Cache-Control: max-age=3, must-revalidate
WP-Super-Cache: Served supercache file from PHP
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8

---response end---
200 OK
Disabling further reuse of socket 3.
Closed fd 3
Registered socket 4 for persistent reuse.
URI content encoding = 'UTF-8'
Længde: uspecificeret [text/html]
Gemmer til: 'index.html.5'

[ <=> ] 27.475 --.-K/s om 0,01s

2015-01-22 14:00:26 (2,45 MB/s) - 'index.html.5' gemt [27475]

Ved første gangs besøg er tidspunktet for kryptering, men ved efterfølgende besøg (wget undersøtter ikke HSTS og opføre sig der med altid som et første gangs besøg) vil ubuntudanmark.dk kryptere med det samme.
Ved ingen af dem er det muligt at få indhold fra siden via HTTP, men uden HSTS er der ikke noget til at beskytte i mod et sslscrap angreb (ubuntudanmark.dk ville stadig være sårbar ved første besøg).

Der ud over kan du teste kvaliteten af kryptering her:
https://www.ssllabs.com/ssltest/

[martin joergensen]

Kode: Vælg alt

sudo apt-get install nmap
nmap -p 80 dinside.dk



[AJenbo]

Hvis du vælger at lukke for port 80 og kun have https kan folk ikke besøge din side uden at skrive url helt korrekt.

[Blueeyez]

Altså jeg kan nemt lukke for http, men ved bare ikke om det er for upraktisk... altså servage fører ikke brugeren over på https så.. hvilket man vel ikke kan gøre en forskel på? (Tænker på .htaccess skønt jeg ikke ved noget om den afdeling uoover der vidst er en del muligheder).

[AJenbo]

Htaccess kan ikke spæce for port 80 mig bekendt, som sagt er der ikke noget galt i at over føre brugeren fra HTTP til HTTPS, min oprindelige kommentar var blot for at køre dig opmærksom på at der stadig forgår et indledende kald over http hvor der så ingen kryptering er, sådan er det bare når browserens første gæt er på http. En ting man dog bør sørge for er at de cookies der oprettes sættes som secure så de ikke sendes over http hvis brugeren rammer den side.

[Blueeyez]

Siden jeg tester på valgte jeg at lukke http på for at se hvordan den kører på https og der var områder den bruger http skønt jeg fik hjælp udefra til at tvinge hele siden på ssl.. Så det er da en god mdåe at finde ud af hvor meget der foregår over https

Ubuntuesbjerg.dk er jo ret simpel og uden login til folk der besøger siden