NFsec Logo

SSLyze – szybki skaner SSL

24/01/2013 w Pen Test Brak komentarzy.  (artykuł nr 389, ilość słów: 1373)

S

SLyze jest narzędziem napisanym w języku Python, które potrafi przeprowadzać analizę konfiguracji serwerów SSL. Jego głównym zadaniem jest pomoc w testowaniu i wykrywaniu ich złej konfiguracji. Głównymi cechami programu są:

  • Kompatybilność z SSL 2.0/3.0 oraz TLS 1.0/1.1/1.2,
  • Możliwość wykonywania testów wydajnościowych: wznawianie sesji, wsparcie ticketów TLS,
  • Testy bezpieczeństwa: słabe szyfrowanie, niebezpieczna renegocjacja, ataki CRIME oraz THC-SSL DoS,
  • Sprawdzanie poprawności certyfikatów SSL,
  • Wsparcie dla StartTLS z SMTP i XMPP oraz tunelowanie ruchu za pośrednictwem serwera proxy HTTPS,
  • Wsparcie dla uwierzytelniania za pomocą certyfikatu klienta,
  • Wyniki skanowania można zapisywać do pliku XML w celu dalszego przetwarzania.

Przykład prostego użycia:

[root@stardust ~]# ./sslyze.py --regular www.strona.com.pl

 REGISTERING AVAILABLE PLUGINS
 -----------------------------

   PluginSessionRenegotiation - OK
   PluginSessionResumption - OK
   PluginCompression - OK
   PluginCertInfo - OK
   PluginOpenSSLCipherSuites - OK

 CHECKING HOST(S) AVAILABILITY
 -----------------------------

   www.strona.com.pl:443                => 192.168.1.1:443                  

 SCAN RESULTS FOR WWW.STRONA.COM.PL:443 - 192.168.1.1:443
 ---------------------------------------------------------

  * Compression :
        Compression Support:      Disabled

  * Session Renegotiation :
      Client-initiated Renegotiations:    Rejected
      Secure Renegotiation:               Supported

  * Certificate :
      Validation w/ Mozilla's CA Store:  Certificate is Trusted - Extended Validation
      Hostname Validation:               OK - Common Name Matches           
      SHA1 Fingerprint:                  7777C01A73AB9CFA301E5ED3E3280ACE60B2347D

      Common Name:                       www.strona.com.pl                   
      Issuer:                            /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network
      Serial Number:                     7CB2A2A089DCCBB4A99F14255C3FB36A   
      Not Before:                        Apr  1 00:00:00 2011 GMT           
      Not After:                         Jun 27 23:59:59 2013 GMT           
      Signature Algorithm:               sha1WithRSAEncryption              
      Key Size:                          2048                               

  * SSLV2 Cipher Suites :

      Rejected Cipher Suite(s): Hidden 

      Preferred Cipher Suite: None     

      Accepted Cipher Suite(s): None   

      Unknown Errors: None             

  * SSLV3 Cipher Suites :

      Rejected Cipher Suite(s): Hidden 

      Preferred Cipher Suite:          
        DES-CBC3-SHA             168 bits      HTTP 200 OK                        

      Accepted Cipher Suite(s):        
        DES-CBC3-SHA             168 bits      HTTP 200 OK                        
        RC4-SHA                  128 bits      HTTP 200 OK                        
        RC4-MD5                  128 bits      HTTP 200 OK                        

      Unknown Errors: None             

  * Session Resumption :
      With Session IDs:           Partially supported (1 successful, 4 failed, 0 errors).
      With TLS Session Tickets:   Not Supported - TLS ticket not assigned.

  * TLSV1 Cipher Suites :

      Rejected Cipher Suite(s): Hidden 

      Preferred Cipher Suite:          
        DES-CBC3-SHA             168 bits      HTTP 200 OK                        

      Accepted Cipher Suite(s):        
        DES-CBC3-SHA             168 bits      HTTP 200 OK                        
        RC4-SHA                  128 bits      HTTP 200 OK                        
        RC4-MD5                  128 bits      HTTP 200 OK                        

      Unknown Errors: None             

 SCAN COMPLETED IN 3.89 S
 ------------------------

Instalacja w systemie Linux polega na ściągnięciu i rozpakowaniu pakietu oprogramowania. Jedynym wymogiem jest posiadanie interpretera języka Python 2.6 lub 2.7 oraz OpenSSL w wersji większej niż 0.9.8.

Więcej informacji: iSECPartners

Kategorie K a t e g o r i e : Pen Test

Tagi T a g i : , , , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.