Назад | Перейти на главную страницу

Как мне протестировать порт SSL моего znc на предмет различных уязвимостей SSL?

Порт SSL моего znc не 443. Различные тесты уязвимости SSL в Интернете работают только на порту 443.

Порт znc SSL одновременно обслуживает веб-сервер и IRC-вышибалу.

Как я могу проверить, не уязвим ли порт SSL znc к уязвимостям SSL, таким как застревание, пудель, урод и так далее?

Вы можете проверить свое SSL-соединение, используя openssl и nmap инструмент.

Heartbleed

версия openssl

Ваша установка OpenSSL уязвима для Hertbleed, если вывод версии имеет одно из следующих значений: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 источник

Как указано в комментариях ниже, простая проверка версии может дать ложное срабатывание, поскольку большинство дистрибутивов предлагают исправления безопасности, которые не изменяют версию openssl.

я нашел этот ответ на serverfault чтобы проверить кровотечение:

openssl s_client -connect example.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe

Пудель

openssl s_client -connect example.com:443 -ssl3

если вы получите что-то вроде этого

3073927320:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40 3073927320:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

все в порядке. источник

Затор

openssl s_client -connect example.com:443 -ssl3

Это должно вывести две строки: Server public key is 4096 bit is your RSA Key size.

Server Temp Key: DH, 4096 bits is your DH-Parameter size.

Если это 1024 бит или меньше, вам нужно обновить конфигурацию.

источник

Урод

Я не нашел способа протестировать против атаки уродов, просто используя openssl. Ты можешь использовать nmap вместо.

nmap --script ssl-enum-ciphers -p 443 example.com | grep EXPORT -l | wc -l

выводит 1 для уязвимых и 0 для чистых.

источник

Пытаться testssl.sh. Отличный инструмент, который можно запустить из командной строки и дать примерно такой же результат, что и ssllabs.com (хотя, к сожалению, без информации о браузере), но не ограниченный портом или общедоступными веб-сайтами.

Обратите внимание, что это сценарий оболочки, который, как я понял из беглого взгляда на исходный код, в основном объединяет все команды openssl, которые он предложил в своем ответе, и многие другие в один приятный, простой в использовании сценарий.