Защищаем HTTP протоколы
Termux, please
Всем привет, сегодня в статье у нас речь пойдет о защите HTTP протоколов , но перед этим мы с вами познакомимся с ними.
HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документов в формате HTML, в настоящее время используется для передачи произвольных данных. Основой HTTP является технология «клиент-сервер», то есть предполагается существование: Потребителей (клиентов), которые инициируют соединение и посылают запрос.
h2t - это простой инструмент, помогающий системным администраторам закалить свои веб-сайты.
Установка:
pkg update && pkg upgrade pkg intsall git pkg install python git clone https://github.com/gildasio/h2t cd h2t pip install -r requirements.txt ./h2t.py -h
При вводе последней команды, у вас выведет что-то типа такого:
$ ./h2t.py -h
usage: h2t.py [-h] {list,l,scan,s} ...
h2t - HTTP Hardening Tool
positional arguments:
{list,l,scan,s} sub-command help
list (l) show a list of available headers in h2t catalog (that can
be used in scan subcommand -H option)
scan (s) scan url to hardening headers
optional arguments:
-h, --help show this help message and exit
Подкоманда сканирования выполняет сканирование на веб-сайте в поисках их заголовков.
$ ./h2t.py scan -h
usage: h2t.py scan [-h] [-v] [-a] [-g] [-b] [-H HEADERS [HEADERS ...]]
[-p PRINT [PRINT ...]]
[-i IGNORE_HEADERS [IGNORE_HEADERS ...]] [-B] [-E] [-n]
[-u USER_AGENT] [-r | -s]
url
positional arguments:
url url to look for
optional arguments:
-h, --help show this help message and exit
-v, --verbose increase output verbosity: -v print response headers,
-vv print response and request headers
-a, --all scan all cataloged headers [default]
-g, --good scan good headers only
-b, --bad scan bad headers only
-H HEADERS [HEADERS ...], --headers HEADERS [HEADERS ...]
scan only these headers (see available in list sub-
command)
-p PRINT [PRINT ...], --print PRINT [PRINT ...]
a list of additional information about the headers to
print. For now there are two options: description and
refs (you can use either or both)
-i IGNORE_HEADERS [IGNORE_HEADERS ...], --ignore-headers IGNORE_HEADERS [IGNORE_HEADERS ...]
a list of headers to ignore in the results
-B, --no-banner don't print the h2t banner
-E, --no-explanation don't print the h2t output explanation
-o {normal,csv,json}, --output {normal,csv,json}
choose which output format to use (available: normal,
csv, json)
-n, --no-redirect don't follow http redirects
-u USER_AGENT, --user-agent USER_AGENT
set user agent to scan request
-k, --insecure don't verify SSL certificate as valid
-r, --recommendation output only recommendations [default]
-s, --status output actual status (eg: existent headers only)
Теперь о самих заголовках:
- [+] Красные заголовки - это плохие заголовки, которые открывают брешь на вашем сайте или, возможно, показывают много информации. Мы рекомендуем исправить это.
- [+] Желтые заголовки - это хорошие заголовки, которые не применяются на вашем сайте. Мы рекомендуем применять их.
- [-] Зеленые заголовки - это хорошие заголовки, которые уже используются на вашем сайте. Он отображается при использовании флага.
-s
Например :
- Файл cookie - HTTP необходимо применить
- Файл cookie - SSL/TLS необходимо применить
- Заголовок сервера- необходимо применить
- Реферер - необходимо применить
- X-Frame-Options уже используется, здесь делать нечего
- X-XSS-Protection уже используется, здесь делать нечего
Ну а на этом все, всем спасибо за внимание!
- 📺 UnderMind - Наш YouTube канал
- ✅ [YT]UnderMind - Наш основной TG канал
- 🏴☠️ https://t.me/under_private - Приватный канал
- 🛒 HackAli - cамые интересные хакерские товары с Aliexpress!
- 👨💻 Termux, please - 100% termux
- 📱 Android, please - от APK до мануалов
- 🐧 Linux, please - всё о Linux
- 💭 https://t.me/UnderChats - Чат
- ⚡️ Мы в Yandex.Zen - Лучший контент со всех наших каналов