h2t, outil de sécurisation des entêtes HTTP

Description

h2t est un simple outil permettant aux administrateurs de sécuriser leurs sites web.
Jusqu'à maintenant, h2t vérifie les entêtes du site web et donne des recommandations pour faire mieux.

Dépendances

Installation

$ git clone https://github.com/gildasio/h2t


$ cd h2t


$ pip install -r requirements.txt


$ ./h2t.py -h

Utilisation

h2t possède des sous commandes : list et scan.

$ ./h2t.py -h


usage: h2t.py [-h] {list,l,scan,s} ...





h2t - HTTP Hardening Tool





positional arguments:


{list,l,scan,s} sub-command help


list (l) show a list of available headers in h2t catalog (that can


be used in scan subcommand -H option)


scan (s) scan url to hardening headers





optional arguments:


-h, --help show this help message and exit

Sous commandes de List

Les sous commandes de List liste tous les entêtes dans le catalogue de h2t et peut afficher des informations sur leur description, des liens pour plus d'information et des "how to".

$ ./h2t.py list -h


usage: h2t.py list [-h] [-p PRINT [PRINT ...]] [-B]


[-a | -H HEADERS [HEADERS ...]]





optional arguments:


-h, --help show this help message and exit


-p PRINT [PRINT ...], --print PRINT [PRINT ...]


a list of additional information about the headers to


print. For now there are two options: description and


refs (you can use either or both)


-B, --no-banner don't print the h2t banner


-a, --all list all available headers [default]


-H HEADERS [HEADERS ...], --headers HEADERS [HEADERS ...]


a list of headers to look for in the h2t catalog

Sous commandes de Scan

Les sous commandes de scan effectue un scan du site web à la recherche des entêtes.

$ ./h2t.py scan -h


usage: h2t.py scan [-h] [-v] [-a] [-g] [-b] [-H HEADERS [HEADERS ...]]


[-p PRINT [PRINT ...]]


[-i IGNORE_HEADERS [IGNORE_HEADERS ...]] [-B] [-E] [-n]


[-u USER_AGENT] [-r | -s]


url





positional arguments:


url url to look for





optional arguments:


-h, --help show this help message and exit


-v, --verbose increase output verbosity: -v print response headers,


-vv print response and request headers


-a, --all scan all cataloged headers [default]


-g, --good scan good headers only


-b, --bad scan bad headers only


-H HEADERS [HEADERS ...], --headers HEADERS [HEADERS ...]


scan only these headers (see available in list sub-


command)


-p PRINT [PRINT ...], --print PRINT [PRINT ...]


a list of additional information about the headers to


print. For now there are two options: description and


refs (you can use either or both)


-i IGNORE_HEADERS [IGNORE_HEADERS ...], --ignore-headers IGNORE_HEADERS [IGNORE_HEADERS ...]


a list of headers to ignore in the results


-B, --no-banner don't print the h2t banner


-E, --no-explanation don't print the h2t output explanation


-o {normal,csv,json}, --output {normal,csv,json}


choose which output format to use (available: normal,


csv, json)


-n, --no-redirect don't follow http redirects


-u USER_AGENT, --user-agent USER_AGENT


set user agent to scan request


-k, --insecure don't verify SSL certificate as valid


-r, --recommendation output only recommendations [default]


-s, --status output actual status (eg: existent headers only)

Résultat

Actuellement, le résultat est seulement pour le mode normal. Comprenez le comme cela :

[+] Les entêtes rouges sont les mauvaises entêtes qui provoquent une faille dans votre site web ou montre trop d'informations. Nous recommandons de corriger cela.
[+] Les entêtes jaunes sont les bonnes entêtes qui ne sont pas présentes sur votre site. Nous recommandons de les mettre en production.
[-] Les entêtes vertes sont les bonnes entêtes qui sont déjà présentes sur votre site. Elles sont montrées avec le paramètre -s.

Exemple: