Анализ конфигурации SSL с помощью SSLyze
Сегодня мы говорим о SSLyze. SSLyze — это инструмент Python, который может анализировать конфигурацию SSL сервера. Инструмент был разработан для быстрого и точного нахождения неправильной конфигурации SSL и полезен для большинства организаций и тестировщиков.
Ключевые особенности инструмента:
- многопроцессорное и многопоточное сканирование;
- совместимость с SSL 2.0 / 3.0 и TLS 1.0 / 1.1 / 1.2;
- тестирование производительности: возобновление сеанса и поддержка TLS;
- тестирование безопасности: слабые комплекты шифров, небезопасные пересмотры, CRIME, Heartbleed и многое другое;
- проверка сертификата сервера и проверка отзыва с помощью сшивания OCSP;
- поддержка рукопожатий StartTLS на SMTP, XMPP, LDAP, POP, IMAP, RDP и FTP;
- поддержка клиентских сертификатов при сканировании серверов, которые выполняют взаимную аутентификацию.
Источник: https://github.com/iSECPartners/sslyze
Домашняя страница SSLyze | Репозиторий для Kali Linux.
Автор: iSECPartners
Лицензия: GPLv2
Для начала нам нужно установить SSLyze. Перед установкой SSLyze нам нужно установить python setuptools с помощью следующей команды:
pip install –upgrade setuptools
Затем нужно установить SSLyze с помощью следующей команды:
pip install –upgrade sslyze
После завершения установки инструмента должен появится схожий экран:
На этом уровне вам удалось успешно установить sslyze.
Теперь давайте воспользуемся этим инструментом и выясним, на что он действительно способен.
Для запуска инструмента и просмотра справки нужно ввести следующую команду:
sslyze -h
Чтобы извлечь конфигурацию определенного веб-сайта, введите следующую команду:
sslyze –-regular www.yahoo.com
(Здесь мы взяли www.yahoo.com в качестве примера, вы можете заменить его на любой веб-сайт).
Ваш экран должен выглядеть так(если вы использовали www.yahoo.com):
Для просмотра всей полученной информации необходимо прокрутить окно терминала вниз.
Заключение
SSLyze — эффективный инструмент для извлечения конфигурации ssl на сервере. Он позволяет хакеру собирать такую информацию, как дата выпуска, открытый ключ, размер ключа, состояние и т.д. Он также предоставляет информацию о наличии уязвимости OpenSSL, связанной с heartbleed.