如何使用cspparse评估内容安全策略CSP的有效性
2022-8-5 18:31:53
Author: FreeBuf(查看原文)
阅读量:12
收藏
关于cspparse
cspparse是一款针对内容安全策略的升级工具,在该工具的帮助下,广大研究人员可以针对自己所实施的内容安全策略CSP进行安全审计和评估。该工具使用了Google的API来获取CSP Header,并将获取到的信息以ReconJSON格式返回给研究人员。除此之外,该工具还能够解析目标站点的HTML,并检索HTML代码中<meta>标签包含的内容安全策略CSP规则。 ReconJSON
ReconJSON是一种基于Recon数据标准的JSON格式,ReconJSON这种数据格式可以有效地存储关于目标主机的相关信息。ReconJSON标准文件后缀名为.json,其内部数据结构如下所示:[
{"type":"Host"},
{"type":"Host"},
{"type":"Host"},
{"type":"Host"}
]
Host:Host对象用于描述指定主机的相关信息;Service:Service对象用于描述一个在目标端口运行的指定程序;ServiceDescriptor:ServiceDescriptor对象用于描述Service对象的一个指定属性或配置;
工具安装
该工具基于Go语言开发,因此广大研究人员首先需要在本地设备上安装并配置好Go环境。接下来,我们就可以使用go get命令来下载和安装cspparse了:~ ❯ go get -u github.com/lc/cspparse
cspparse命令将会被安装到“$GOPATH/bin”路径下,我们可以在“$GOPATH/src/github.com/lc/cspparse”路径下找到cspparse的源码。除此之外,我们还可以通过源码进行手动安装和项目构建:~ ❯ git clone https://github.com/lc/cspparse
~ ❯ cd cspparse
~ ❯ go build
工具使用
~ ❯ cspparse <domain / url>
演示样例
~ ❯ cspparse https://www.facebook.com
Docker使用
~ > docker build -t cspparse .
Docker下运行
~ > docker run --rm -t cspparse <domain / url>
项目地址
https://github.com/lc/cspparse参考资料
https://github.com/ReconJSON/ReconJSON
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651183805&idx=4&sn=4bbb8552deaa9505f4f1c8471df03840&chksm=bd1e48368a69c120878740d7f0cb4acdf3552830242a7f26fa96a7f39b1bd55f21d5ec1c7f45#rd
如有侵权请联系:admin#unsafe.sh