Я пытаюсь проверить, умирает ли веб-сервер, когда SSL-соединения "разрываются" в различных точках установления связи SSL и т. Д.
Мне показалось, что я однажды видел инструмент, который «стресс-тестирует» SSL-соединения, отправляя им различные входные данные, некоторые из которых усечены. Кто-нибудь слышал о таком? Никакие поисковые запросы, похоже, не обнаруживают ничего, кроме «нагрузочных тестов» для веб-серверов.
Популярные реализации TLS уже обслуживают огромное количество соединений, некоторые из которых исходят от людей, пытающихся их разорвать. Процедуры патч-тестирования может быть достаточно. Во-первых, позвольте тестировщикам сообщества и первым пользователям попробовать это. Затем ваши тестовые среды с типичными рабочими процессами. Наконец, постепенное внедрение в продакшн, где это возможно, вызовет большой трафик.
Если вашей сборке не уделяется столько внимания, возможно, вы захотите ее сломать. Конечно, для поиска новых проблем потребуется нечто большее, чем просто пассивное использование. Безопасность.SE имеет опыт работы с TLS в частности и с отказом в обслуживании в целом.
Что касается инструментов, ищите ориентированные на TLS наборы тестов и пуховики. Они делают недопустимые или экзотические вещи. Например, помидор42 / tlsfuzzer. У меня нет особого опыта в этом, но он имеет нетривиальное количество функций и может быть запущен на любом сервере TLS.
Вот еще один способ проверить конкретную реализацию: «badssl.com», например вы можете запросить такие вещи, как very.badssl.com, 1000-sans.badssl.com и т. д.
ссылка:https://github.com/crystal-lang/crystal/commit/039673d3d99b3defe3b0f2f8e3f2dd87ef29ccbc