Sabemos que los navegadores modernos, como Chrome y otros, admiten muchos encabezados HTTP que pueden mejorar la seguridad de las aplicaciones web para proteger contra el secuestro de clics, las secuencias de comandos entre sitios y otros ataques comunes. Shcheck es una herramienta gratuita y de código abierto disponible en GitHub. Shcheck se utiliza para verificar si una función de seguridad en una aplicación web está implementada o no. Se basa en la técnica de enviar la solicitud al servidor a través del método GET y, en respuesta, recibe toda la información confidencial que viaja en el encabezado. Encabezados de seguridad HTTPson un subconjunto de encabezados HTTP y se intercambian entre un cliente web (generalmente un navegador) y un servidor para especificar los detalles relacionados con la seguridad de la comunicación HTTP. Algunos encabezados HTTP que están indirectamente relacionados con la privacidad y la seguridad también pueden considerarse encabezados de seguridad HTTP. Al habilitar encabezados adecuados en las aplicaciones web y la configuración del servidor web, puede mejorar la resiliencia de su aplicación web contra muchos ataques comunes, incluidos los scripts de sitios cruzados (XSS) y el secuestro de clics.
Instalación
Paso 1: Abra su sistema operativo Kali Linux e instale las dependencias usando el siguiente comando. Instale la herramienta usando el segundo comando.
apt install python3 python3-pip pip3 install shcheck
Paso 2: La herramienta se ha descargado. Utilice el siguiente comando para ejecutar la herramienta.
shcheck.py -h
La herramienta se está ejecutando correctamente. Ahora, veamos un ejemplo del uso de la herramienta.
Ejemplo 1: use la herramienta shcheck para escanear el encabezado de un dominio.
shcheck.py <domain-name>
De manera similar, puede probar su propio dominio usando este comando.
Ejemplo 2: use la herramienta shcheck para escanear el encabezado de un dominio con el método get.
shcheck.py <domain-name>-g
Ejemplo 3: use la herramienta shcheck para obtener información sobre los encabezados usando el parámetro «-i».
shcheck.py <domain-name> -i
Publicación traducida automáticamente
Artículo escrito por mohdshariq y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA