10 أدوات استكشاف أخطاء SSL / TLS مجانية لمشرفي المواقع

غالبًا ما تحتاج إلى ذلك تصحيح المشاكل المتعلقة بـ SSL / TLS أثناء العمل كمهندس ويب أو مشرف موقع أو مسؤول نظام.


يوجد العديد من أدوات الإنترنت لشهادة SSL ، واختبار الثغرات الأمنية SSL / TLS ، ولكن عندما يتعلق الأمر باختبار عناوين URL القائمة على إنترانت ، VIP ، IP ، فلن تكون مفيدة.

لاستكشاف موارد الإنترانت وإصلاحها ، تحتاج إلى برنامج / أدوات مستقلة يمكنك تثبيتها في شبكتك وإجراء اختبار ضروري.

قد يكون هناك سيناريوهات مختلفة ، مثل:

  • تواجه مشكلات أثناء تنفيذ شهادة SSL مع خادم الويب
  • تريد التأكد من أحدث التشفير / معين ، يتم استخدام البروتوكول
  • بعد التنفيذ ، ترغب في التحقق من التكوين
  • وجدت مخاطر أمنية في نتيجة اختبار الاختراق

ستكون الأدوات التالية مفيدة لاستكشاف هذه المشكلات وإصلاحها.

DeepViolet

DeepViolet هي أداة مسح تستند إلى SSL / TLS تعتمد على جافا متاحة في نظام ثنائي ، أو يمكنك الترجمة باستخدام شفرة المصدر.

إذا كنت تبحث عن بديل لـ SSL Labs لاستخدامه على شبكة داخلية ، فإن DeepViolet سيكون اختيارًا جيدًا. يمسح ما يلي.

  • تعرض التشفير الضعيف
  • خوارزمية توقيع ضعيفة
  • حالة إبطال الشهادة
  • حالة انتهاء الشهادة
  • تصور سلسلة الثقة ، جذر ذاتي التوقيع

تشخيصات SSL

تقييم قوة SSL لموقع الويب الخاص بك بسرعة. تشخيصات SSL استخراج بروتوكول SSL ، أجنحة التشفير ، heartbleed ، BEAST.

ليس فقط HTTPS ، ولكن يمكنك اختبار قوة SSL لـ SMTP و SIP و POP3 و FTPS.

SSLyze

SSLyze هي مكتبة Python وأداة سطر الأوامر التي تتصل بنقطة نهاية SSL وتقوم بإجراء مسح ضوئي لتحديد أي تكوين مفقود لـ SSL / TLS.

المسح من خلال SSLyze سريع حيث يتم توزيع الاختبار من خلال عمليات متعددة. إذا كنت مطورًا أو ترغب في الاندماج مع تطبيقك الحالي ، فلديك خيار لكتابة النتيجة بتنسيق XML أو JSON.

يتوفر SSLyze أيضًا في Kali Linux.

OpenSSL

لا تقلل من شأن OpenSSL ، وهي واحدة من الأدوات المستقلة القوية المتاحة لنظام التشغيل Windows أو Linux لأداء العديد من المهام المتعلقة بـ SSL مثل التحقق ، وإنشاء CSR ، وتحويل الشهادات ، وما إلى ذلك..

مسح مختبرات SSL

هل تحب مختبرات Qualys SSL؟ لست وحدك؛ أنا أحبه أيضا.

إذا كنت تبحث عن أداة سطر أوامر لمختبرات SSL للاختبار الآلي أو الجماعي ، فحينئذٍ مسح مختبرات SSL سيكون مفيدا.

مسح SSL

مسح SSL متوافق مع Windows و Linux و MAC. يساعد مسح SSL بسرعة في تحديد المقاييس التالية.

  • قم بتمييز SSLv2 / SSLv3 / CBC / 3DES / RC4 / الشفرات
  • تقرير ضعيف (<40 بت) ، أصفار فارغة / مجهولة
  • تحقق من ضغط TLS وضعف القلب
  • وأكثر بكثير…

إذا كنت تعمل على حل المشاكل المتعلقة بالتشفير ، فسيكون فحص طبقة المقابس الآمنة (SSL) أداة مفيدة للتتبع السريع لاستكشاف الأخطاء وإصلاحها.

TestSSL

كما يشير الاسم, TestSSL هي أداة سطر أوامر متوافقة مع Linux أو OS. يختبر جميع المقاييس الأساسية ويعطي الحالة ، سواء كانت جيدة أو سيئة.

مثال:

اختبار البروتوكولات عبر المقابس إلا SPDY + HTTP2

لم يتم تقديم SSLv2 (موافق)
لم يتم تقديم SSLv3 (حسنًا)
عرضت TLS 1
عرضت TLS 1.1
عرضت TLS 1.2 (موافق)
SPDY / NPN h2 ، spdy / 3.1 ، http / 1.1 (تم الإعلان عنها)
HTTP2 / ALPN h2 ، spdy / 3.1 ، http / 1.1 (عرض)

اختبار ~ فئات التشفير القياسية

لا تُقدم الشفرات الفارغة (بدون تشفير) (موافق)
لا توجد شفرات NULL مجهولة (بدون مصادقة) (OK)
تصدير الشفرات (بدون / ADH + NULL) غير معروض (موافق)
منخفض: لا يتوفر تشفير 64 بت + DES (بدون تصدير) (موافق)
ضعف تشفير 128 بت (SEED ، IDEA ، RC [2،4]) غير متاح (موافق)
Triple Ciphers (متوسط) غير معروض (موافق)
عرض تشفير عالي (AES + كاميليا ، بدون AEAD) (موافق)
عرض تشفير قوي (شفرات AEAD) (موافق)

اختبار تفضيلات الخادم

لديه ترتيب تشفير الخادم؟ نعم حسنا)
بروتوكول التفاوض TLSv1.2
التشفير المتفاوض عليه ECDHE-ECDSA-CHACHA20-POLY1305-OLD ، 256 بت ECDH (P-256)
ترتيب التشفير
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

اختبار الثغرات الأمنية

Heartbleed (CVE-2014-0160) غير ضعيف (موافق) ، لا يوجد تمديد لضربات القلب
CCS (CVE-2014-0224) غير ضعيف (موافق)
Ticketbleed (CVE-2016-9244) ، تجربة. غير ضعيف (موافق)
إعادة التفاوض الآمنة (CVE-2009-3555) ليست عرضة للخطر (موافق)
إعادة التفاوض التي بدأها العميل ليست عرضة للخطر (موافق)
CRIME ، TLS (CVE-2012-4929) غير ضعيف (موافق)
BREACH (CVE-2013-3587) من المحتمل ألا يكون على ما يرام ، يستخدم ضغط HTTP gzip. – مزود فقط "/" اختبارها
يمكن تجاهلها لصفحات ثابتة أو إذا لم يكن هناك أسرار في الصفحة
POODLE ، SSL (CVE-2014-3566) غير ضعيف (موافق)
TLS_FALLBACK_SCSV (RFC 7507) منع هجوم الرجوع إلى الإصدار السابق (OK)
SWEET32 (CVE-2016-2183، CVE-2016-6329) غير ضعيف (موافق)
FREAK (CVE-2015-0204) غير ضعيف (موافق)
DROWN (CVE-2016-0800، CVE-2016-0703) غير معرضة للخطر على هذا المضيف والمنفذ (موافق)
تأكد من أنك لا تستخدم هذه الشهادة في أي مكان آخر مع خدمات تمكين SSLv2
يمكن أن يساعدك https://censys.io/ipv4؟q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 على معرفة
LOGJAM (CVE-2015-4000) ، تجريبي غير ضعيف (موافق): لا شفرات تصدير DH ، لم يتم الكشف عن مفتاح DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
ضعيف – ولكنه يدعم أيضًا البروتوكولات الأعلى (التخفيف المحتمل): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) ضعيف ، يستخدم شفرات تسلسل كتلة التشفير (CBC)
RC4 (CVE-2013-2566 ، CVE-2015-2808) لم يتم الكشف عن شفرات RC4 (موافق)

كما ترى ، فإنه يغطي عددًا كبيرًا من الثغرات وتفضيلات التشفير والبروتوكولات وما إلى ذلك. يتوفر TestSSL.sh أيضًا في صورة عامل الميناء.

إذا كنت بحاجة إلى إجراء فحص عن بعد باستخدام testsl.sh ، فيمكنك المحاولة Geekflare TLS الماسح الضوئي.

مسح TLS

يمكنك إما البناء مسح TLS من مصدر أو تنزيل ثنائي لنظام التشغيل Linux / OSX. يستخرج معلومات الشهادة من الخادم ويطبع المقاييس التالية بتنسيق JSON.

  • تدقيق التحقق من اسم المضيف
  • فحوصات ضغط TLS
  • التحقق من تعداد إصدار التشفير و TLS
  • تدقيق إعادة استخدام الجلسة

وهو يدعم بروتوكولات TLS و SMTP و STARTTLS و MySQL. يمكنك أيضًا دمج الناتج الناتج في محلل سجلات مثل Splunk و ELK.

مسح التشفير

أداة سريعة لتحليل ما يدعم موقع HTTPS جميع الشفرات. مسح التشفير لديها أيضًا خيار لإظهار الإخراج بتنسيق JSON. إنه مجمع ويستخدم داخليًا أمر OpenSSL.

تدقيق SSL

تدقيق SSL هي أداة مفتوحة المصدر للتحقق من الشهادة ودعم البروتوكول والأصفار والدرجة بناءً على مختبرات SSL.

آمل أن تساعدك الأدوات مفتوحة المصدر المذكورة أعلاه على دمج المسح المستمر مع محلل السجلات الحالي وتسهيل عملية استكشاف الأخطاء وإصلاحها.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map