Порт SSL моего znc не 443. Различные тесты уязвимости SSL в Интернете работают только на порту 443.
Порт znc SSL одновременно обслуживает веб-сервер и IRC-вышибалу.
Как я могу проверить, не уязвим ли порт SSL znc к уязвимостям SSL, таким как застревание, пудель, урод и так далее?
Вы можете проверить свое SSL-соединение, используя openssl
и nmap
инструмент.
Heartbleed
версия openssl
Ваша установка OpenSSL уязвима для Hertbleed, если вывод версии имеет одно из следующих значений: 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 источник
Как указано в комментариях ниже, простая проверка версии может дать ложное срабатывание, поскольку большинство дистрибутивов предлагают исправления безопасности, которые не изменяют версию openssl.
я нашел этот ответ на serverfault чтобы проверить кровотечение:
openssl s_client -connect example.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe
Пудель
openssl s_client -connect example.com:443 -ssl3
если вы получите что-то вроде этого
3073927320:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40
3073927320:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
все в порядке. источник
Затор
openssl s_client -connect example.com:443 -ssl3
Это должно вывести две строки:
Server public key is 4096 bit is your RSA Key size.
Server Temp Key: DH, 4096 bits is your DH-Parameter size.
Если это 1024 бит или меньше, вам нужно обновить конфигурацию.
Урод
Я не нашел способа протестировать против атаки уродов, просто используя openssl
. Ты можешь использовать nmap
вместо.
nmap --script ssl-enum-ciphers -p 443 example.com | grep EXPORT -l | wc -l
выводит 1 для уязвимых и 0 для чистых.
Пытаться testssl.sh. Отличный инструмент, который можно запустить из командной строки и дать примерно такой же результат, что и ssllabs.com (хотя, к сожалению, без информации о браузере), но не ограниченный портом или общедоступными веб-сайтами.
Обратите внимание, что это сценарий оболочки, который, как я понял из беглого взгляда на исходный код, в основном объединяет все команды openssl, которые он предложил в своем ответе, и многие другие в один приятный, простой в использовании сценарий.