你经常需要 调试与SSL / TLS相关的问题 以网站工程师,网站管理员或系统管理员的身份工作.
有很多 线上工具 用于SSL证书,测试SSL / TLS漏洞,但是当涉及到测试基于Intranet的URL,VIP,IP时,它们将无济于事.
要对Intranet资源进行故障排除,您需要一个独立的软件/工具,可以将其安装在网络中并执行必要的测试.
可能有多种情况,例如:
- 使用Web服务器实施SSL证书期间出现问题
- 想要确保使用最新/特定密码,协议
- 实施后,希望验证配置
- 渗透测试结果中发现安全风险
以下工具将很容易解决此类问题.
深紫罗兰色
深紫罗兰色 是二进制形式的基于Java的SSL / TLS扫描工具,也可以使用源代码进行编译.
如果您正在寻找在内部网络上使用的SSL实验室的替代方案,那么DeepViolet将是一个不错的选择。扫描以下内容.
- 弱密码暴露
- 弱签名算法
- 认证撤销状态
- 证书到期状态
- 可视化信任链,一个自签名的根
SSL诊断
快速评估您网站的SSL强度. SSL诊断 提取SSL协议,密码套件,heartbleed,BEAST.
不只是HTTPS,您还可以测试SMTP,SIP,POP3和FTPS的SSL强度.
SSLyze
SSLyze 是一个Python库和命令行工具,它连接到SSL端点并执行扫描以识别任何SSL / TLS丢失配置.
通过SSLyze进行扫描非常快速,因为测试是通过多个进程进行分发的。如果您是开发人员或想与现有应用程序集成,则可以选择以XML或JSON格式写入结果.
SSLyze在Kali Linux中也可用.
的OpenSSL
不要低估OpenSSL,这是Windows或Linux可以执行各种与SSL相关的任务(例如验证,CSR生成,证书转换等)的功能强大的独立工具之一。.
SSL实验室扫描
喜欢Qualys SSL实验室?你不是一个人;我也爱它.
如果您正在寻找SSL实验室的命令行工具以进行自动化或批量测试,则 SSL实验室扫描 会有用的.
SSL扫描
SSL扫描 与Windows,Linux和MAC兼容。 SSL扫描可快速帮助您确定以下指标.
- 突出显示SSLv2 / SSLv3 / CBC / 3DES / RC4 /密码
- 报告弱(<40位),空/匿名密码
- 验证TLS压缩,令人难以置信的漏洞
- 以及更多…
如果您正在处理与密码相关的问题,那么SSL扫描将是快速跟踪故障排除的有用工具。.
测试SSL
顾名思义, 测试SSL 是与Linux或OS兼容的命令行工具。它测试所有基本指标并给出状态,无论好坏.
例如:
通过套接字测试协议 除了 SPDY + HTTP2
不提供SSLv2(确定)
不提供SSLv3(确定)
提供TLS 1
提供TLS 1.1
提供TLS 1.2(确定)
SPDY / NPN h2,spdy / 3.1,http / 1.1(已发布)
HTTP2 / ALPN h2,spdy / 3.1,http / 1.1(提供)
测试〜标准密码类别
不提供NULL密码(不加密)(确定)
未提供匿名NULL密码(无身份验证)(确定)
不提供导出密码(w / o ADH + NULL)(确定)
低:未提供64位+ DES加密(不带导出)(确定)
未提供弱128位密码(SEED,IDEA,RC [2,4])(确定)
不提供三重DES密码(中)(确定)
提供高加密(AES + Camellia,no AEAD)(确定)
提供强加密(AEAD密码)(确定)
测试服务器首选项
服务器密码有顺序吗?好的)
协商协议TLSv1.2
协商密码ECDHE-ECDSA-CHACHA20-POLY1305-OLD,256位ECDH(P-256)
密码顺序
TLSv1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2:ECDHE-ECDSA-CHACHA20-POLY1305-旧的ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
测试漏洞
Heartbleed(CVE-2014-0160)不易受攻击(OK),无心跳扩展
CCS(CVE-2014-0224)不易受攻击(确定)
Ticketbleed(CVE-2016-9244),实验。不脆弱(确定)
安全重新协商(CVE-2009-3555)不易受攻击(确定)
安全的客户端启动的重新协商不会受到影响(OK)
CRIME,TLS(CVE-2012-4929)不易受攻击(确定)
BREACH(CVE-2013-3587)可能不正常,使用gzip HTTP压缩。 -仅提供 "/" 经过测试
对于静态页面或页面中没有秘密,可以忽略
POODLE,SSL(CVE-2014-3566)不易受攻击(确定)
TLS_FALLBACK_SCSV(RFC 7507)支持降级攻击防护(确定)
SWEET32(CVE-2016-2183,CVE-2016-6329)不易受攻击(确定)
怪胎(CVE-2015-0204)不易受攻击(确定)
DROWN(CVE-2016-0800,CVE-2016-0703)在此主机和端口上不易受攻击(确定)
确保您未在启用SSLv2的服务中在其他地方使用此证书
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820可以帮助您找出答案
LOGJAM(CVE-2015-4000),实验性不脆弱(OK):未检测到DH EXPORT密码,未检测到DH密钥
BEAST(CVE-2011-3389)TLS1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
漏洞-但也支持更高的协议(可能的缓解措施):TLSv1.1 TLSv1.2
LUCKY13(CVE-2013-0169)漏洞,使用密码块链接(CBC)密码
RC4(CVE-2013-2566,CVE-2015-2808)未检测到RC4密码(确定)
如您所见,它涵盖了大量漏洞,密码首选项,协议等。TestSSL.sh在以下版本中也可用 码头工人形象.
如果您需要使用testssl.sh进行远程扫描,则可以尝试 Geekflare TLS扫描仪.
TLS扫描
您可以建立 TLS扫描 从源代码下载或从Linux / OSX下载二进制文件。它从服务器提取证书信息,并以JSON格式打印以下指标.
- 主机名验证检查
- TLS压缩检查
- 密码和TLS版本枚举检查
- 会话重用检查
它支持TLS,SMTP,STARTTLS和MySQL协议。您也可以将结果输出集成到Splunk,ELK等日志分析器中.
密码扫描
快速分析HTTPS网站支持所有密码的工具. 密码扫描 还具有以JSON格式显示输出的选项。包装器,内部使用OpenSSL命令.
SSL审核
SSL审核 是一个开放源代码工具,用于基于SSL实验室验证证书并支持协议,密码和等级.
我希望上述开源工具能够帮助您将连续扫描与现有的日志分析器集成在一起,并简化故障排除过程.
