10 instrumente gratuite de rezolvare a problemelor pentru SSM / TLS pentru Webmaster

De multe ori trebuie depanați probleme legate de SSL / TLS în timp ce lucrați ca inginer web, webmaster sau administrator de sistem.


Sunt destule instrumente online pentru certificatul SSL, Testarea vulnerabilităților SSL / TLS, dar când vine vorba de testarea adreselor URL, VIP, IP bazate pe intranet, atunci nu vor fi utile.

Pentru a depana resursele de intranet, aveți nevoie de un software / instrumente autonom pe care îl puteți instala în rețeaua dvs. și să efectuați un test necesar.

Pot exista diferite scenarii, cum ar fi:

  • Având probleme în timpul implementării certificatului SSL cu serverul web
  • Doriți să vă asigurați o ultimă / particulară cifrare, protocolul este utilizat
  • Post-implementare, doresc să verifice configurația
  • Riscul de securitate găsit într-un rezultat al testului de penetrare

Următoarele instrumente vor fi utile pentru a rezolva probleme.

DeepViolet

DeepViolet este un instrument de scanare bazat pe SSL / TLS, disponibil în binar, sau puteți compila cu codul sursă.

Dacă sunteți în căutarea unei alternative de laboratoare SSL care să fie utilizate într-o rețea internă, DeepViolet ar fi o alegere bună. Acesta scanează următoarele.

  • Criptare slabă expusă
  • Algoritm de semnătură slabă
  • Starea de revocare a certificării
  • Starea de expirare a certificatului
  • Vizualizați încrederea în lanț, o rădăcină autofirmată

Diagnostic SSL

Evaluează rapid puterea SSL a site-ului tău web. Diagnostic SSL extrage protocolul SSL, suite de cifrare, inimă, BEAST.

Nu doar HTTPS, dar puteți testa puterea SSL pentru SMTP, SIP, POP3 și FTPS.

SSLyze

SSLyze este o bibliotecă Python și un instrument de linie de comandă care se conectează la punctul final SSL și efectuează o scanare pentru a identifica orice configurare SSL / TLS.

Scanarea prin SSLyze este rapidă, deoarece un test este distribuit prin mai multe procese. Dacă sunteți dezvoltator sau doriți să vă integrați cu aplicația dvs. existentă, atunci aveți opțiunea de a scrie rezultatul în format XML sau JSON.

SSLyze este disponibil și în Kali Linux.

OpenSSL

Nu subestimați OpenSSL, unul dintre instrumentele puternice disponibile pentru Windows sau Linux pentru a efectua diverse activități legate de SSL, precum verificarea, generarea CSR, conversia certificării etc..

Scanare Labs SSL

Laboratoarele SSL Love Qualys? Nu ești singur; Îmi place și eu.

Dacă sunteți în căutarea unui instrument de linie de comandă pentru laboratoarele SSL pentru teste automate sau în vrac, atunci Scanare Labs SSL ar fi util.

Scanare SSL

Scanare SSL este compatibil cu Windows, Linux și MAC. Scanarea SSL ajută rapid la identificarea următoarelor valori.

  • Evidențiați cifratele SSLv2 / SSLv3 / CBC / 3DES / RC4 /
  • Raportează slab (<40bit), cifre nule / anonime
  • Verificați compresiunea TLS, vulnerabilitatea inimii
  • și mult mai mult…

Dacă lucrați la probleme legate de cifrare, atunci o scanare SSL ar fi un instrument util pentru a urmări rapid depanarea.

TestSSL

După cum indică numele, TestSSL este un instrument de linie de comandă compatibil cu Linux sau sistemul de operare. Testează toate valorile esențiale și dă statut, fie că este bun sau rău.

Ex:

Protocoale de testare prin prize cu exceptia SPDY + HTTP2

SSLv2 nu este oferit (OK)
SSLv3 nu este oferit (OK)
TLS 1 oferit
TLS 1.1 oferit
TLS 1.2 oferit (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (publicitate)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (oferit)

Testare ~ categorii de cifre standard

NIP criptare (fără criptare) nu este oferită (OK)
Cifrele NULL anonime (fără autentificare) nu sunt oferite (OK)
Nu se oferă cifre de export (fără ADH + NULL) (OK)
LOW: criptare 64 biți + DES (fără export), nu este oferită (OK)
Slabă cifrare de 128 biți (SEED, IDEA, RC [2,4]) nu este oferită (OK)
Cifrele Triple DES (Mediu) nu sunt oferite (OK)
Criptare înaltă (AES + Camelia, fără AEAD) oferită (OK)
Criptare puternică (cifrări AEAD) oferită (OK)

Testarea preferințelor serverului

Are comandă de criptare a serverului? da OK)
Protocolul negociat TLSv1.2
Criptare negociată ECDHE-ECDSA-CHACHA20-POLY1305-OLD, ECDH 256 biți (P-256)
Comanda Cipher
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testarea vulnerabilităților

Heartbleed (CVE-2014-0160) nu este vulnerabil (OK), fără extensie a bătăilor inimii
CCS (CVE-2014-0224) nu este vulnerabil (OK)
Ticketbleed (CVE-2016-9244), experiment. nu este vulnerabil (OK)
Renegocierea securizată (CVE-2009-3555) nu este vulnerabilă (OK)
Renegocierea sigură inițiată de client nu este vulnerabilă (OK)
CRIME, TLS (CVE-2012-4929) nu sunt vulnerabile (OK)
BREACH (CVE-2013-3587) potențial NU este ok, folosește compresia HTTP gzip. – furnizat numai "/" testat
Poate fi ignorat pentru paginile statice sau dacă nu există secrete în pagină
POODLE, SSL (CVE-2014-3566) nu este vulnerabil (OK)
TLS_FALLBACK_SCSV (RFC 7507) Prevenirea atacului de declin este acceptată (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) nu este vulnerabil (OK)
FREAK (CVE-2015-0204) nu este vulnerabil (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) nu este vulnerabil pe această gazdă și port (OK)
asigurați-vă că nu utilizați acest certificat în altă parte cu servicii SSLv2 activate
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 v-ar putea ajuta să aflați
LOGJAM (CVE-2015-4000), experimental nu vulnerabil (OK): fără cifrele DH EXPORT, nu a fost detectată nicio cheie DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE – dar acceptă și protocoale mai ridicate (atenuare posibilă): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABIL, folosește criptare blocuri de criptare (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) nu au fost detectate cifre RC4 (OK)

După cum vedeți, acesta acoperă un număr mare de vulnerabilități, preferințe de cifrare, protocoale etc. TestSSL.sh este de asemenea disponibil într-un imagine de docker.

Dacă trebuie să faceți o scanare la distanță folosind testssl.sh, atunci puteți încerca Scanner Geekflare TLS.

Scanare TLS

Puteți construi fie TLS-Scan de la sursă sau descărcare binare pentru Linux / OSX. Extrage informațiile despre certificat din server și tipărește următoarele valori în format JSON.

  • Verificări pentru verificarea numelui de gazdă
  • Verificări de compresie TLS
  • Verificări de enumerare a versiunii Cipher și TLS
  • Verificări de reutilizare în sesiune

Acceptă protocoale TLS, SMTP, STARTTLS și MySQL. De asemenea, puteți integra ieșirea rezultată într-un analizor de jurnal precum Splunk, ELK.

Scanare Cipher

Un instrument rapid pentru a analiza ce site-ul web HTTPS acceptă toate cifrele. Scanare Cipher are, de asemenea, o opțiune de a afișa ieșirea în format JSON. Se înfășoară și se folosește intern comanda OpenSSL.

Auditul SSL

Auditul SSL este un instrument open-source pentru a verifica certificatul și pentru a sprijini protocolul, cifrarea și gradul bazat pe Laboratoarele SSL.

Sper că aceste instrumente de mai sus vă ajută să integrați scanarea continuă cu analizorul de jurnal existent și să ușureze depanarea.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map