Взлом и проверка на уязвимости

Анализ конфигурации SSL с помощью SSLyze

Сегодня мы говорим о SSLyze. SSLyze — это инструмент Python, который может анализировать конфигурацию SSL сервера. Инструмент был разработан для быстрого и точного нахождения неправильной конфигурации SSL и полезен для большинства организаций и тестировщиков.

Ключевые особенности инструмента:

  • многопроцессорное и многопоточное сканирование;
  • совместимость с SSL 2.0 / 3.0 и TLS 1.0 / 1.1 / 1.2;
  • тестирование производительности: возобновление сеанса и поддержка TLS;
  • тестирование безопасности: слабые комплекты шифров, небезопасные пересмотры, CRIME, Heartbleed и многое другое;
  • проверка сертификата сервера и проверка отзыва с помощью сшивания OCSP;
  • поддержка рукопожатий StartTLS на SMTP, XMPP, LDAP, POP, IMAP, RDP и FTP;
  • поддержка клиентских сертификатов при сканировании серверов, которые выполняют взаимную аутентификацию.

Источник: https://github.com/iSECPartners/sslyze

Домашняя страница SSLyze | Репозиторий для Kali Linux.

Автор: iSECPartners
Лицензия: GPLv2

Для начала нам нужно установить SSLyze. Перед установкой SSLyze нам нужно установить python setuptools с помощью следующей команды:

pip install –upgrade setuptools
Анализ конфигурации SSL с помощью SSLyze
Установка python setuptools

Затем нужно установить SSLyze с помощью следующей команды:

pip install –upgrade sslyze
Анализ конфигурации SSL с помощью SSLyze
Установка SSLyze

После завершения установки инструмента должен появится схожий экран:

Анализ конфигурации SSL с помощью SSLyze
Успешная установка SSLyze

На этом уровне вам удалось успешно установить sslyze.

Теперь давайте воспользуемся этим инструментом и выясним, на что он действительно способен.

Для запуска инструмента и просмотра справки нужно ввести следующую команду:

sslyze -h
Анализ конфигурации SSL с помощью SSLyze
Справка инструмента SSLyze

Чтобы извлечь конфигурацию определенного веб-сайта, введите следующую команду:

sslyze –-regular www.yahoo.com

(Здесь мы взяли www.yahoo.com в качестве примера, вы можете заменить его на любой веб-сайт).

Ваш экран должен выглядеть так(если вы использовали www.yahoo.com):

Анализ конфигурации SSL с помощью SSLyze
Анализ конфигурации SSL с помощью SSLyze

Для просмотра всей полученной информации необходимо прокрутить окно терминала вниз.

Заключение

SSLyze — эффективный инструмент для извлечения конфигурации ssl на сервере. Он позволяет хакеру собирать такую информацию, как дата выпуска, открытый ключ, размер ключа, состояние и т.д. Он также предоставляет информацию о наличии уязвимости OpenSSL, связанной с heartbleed.

Related Articles

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Adblock
detector
. 205 запросов. 0,136 секунд.