Analisa Security Header pada Website Menggunakan Shcheck

Rabu, 13 Oktober 2021

Analisa Security Header pada Website Menggunakan Shcheck. Saat melakukan pentesting aplikasi berbasis web, salahsatu yang harus diperiksa adalah sudah benar atau tidaknya penerapan security pada header website tersebut. Biasanya saya melakukan pengecekan melalui website securityheaders.com dimana output dari website tersebut termasuk yang paling lengkap.

Namun jika kalian lebih prefer menggunakan terminal saat melakukan pengecekan, saya merekomendasikan salahsatu tool dengan fungsi yang sama, yakni shcheck. Tool yang dibuat oleh santoru menggunakan bahasa Python 3 ini memiliki fungsi untuk memeriksa implementasi security pada header, serta menampilkan output warning jika ada header yang kurang.

Cara Install Shcheck

Berikut beberapa cara instalasi Shcheck:

Menggunakan Pypi

Pastikan python3 dan pip3 sudah terinstall di sistem. Selanjutnya tinggal install shcheck menggunakan command

sudo pip3 install shcheck

shcheck.py -h

Menggunakan Docker

Pastikan docker sudah diinstall di sistem. Selanjutnya jalankan perintah berikut untuk membuat container dari shcheck.

git clone https://github.com/santoru/shcheck

cd shcheck

docker build -t shcheck .

docker run -it --rm shcheck -h

Dari Source

Atau langsung jalankan saja file source shcheck dari repository Github.

git clone https://github.com/santoru/shcheck

cd shcheck

./shcheck.py -h

Untuk melihat opsi yang tersedia, kalian bisa gunakan flag -h.

❰nino❙~❱✔≻ shcheck.py -h
Usage: /usr/local/bin/shcheck.py [options] <target>

Options:
  -h, --help            show this help message and exit
  -p PORT, --port=PORT  Set a custom port to connect to
  -c COOKIE_STRING, --cookie=COOKIE_STRING
                        Set cookies for the request
  -a HEADER_STRING, --add-header=HEADER_STRING
                        Add headers for the request e.g. 'Header: value'
  -d, --disable-ssl-check
                        Disable SSL/TLS certificate validation
  -g, --use-get-method  Use GET method instead HEAD method
  -j, --json-output     Print the output in JSON format
  -i, --information     Display information headers
  -x, --caching         Display caching headers
  -k, --deprecated      Display deprecated headers
  --proxy=PROXY_URL     Set a proxy (Ex: http://127.0.0.1:8080)
  --hfile=PATH_TO_FILE  Load a list of hosts from a flat file
  --colours=COLOURS     Set up a colour profile
  --colors=COLOURS      Alias for colours for US English

Berikut contoh penggunakan shcheck.

shcheck.py https://blog.linuxsec.org -i -x -k -g

Ok mungkin sekian dulu tutorial kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.

Artikel Terkait Security ,Tools ,Web Application