ฟรี 10 SSL / TLS เครื่องมือแก้ไขปัญหาสำหรับเว็บมาสเตอร์

คุณมักจะต้อง แก้ไขปัญหาที่เกี่ยวข้องกับ SSL / TLS ในขณะที่ทำงานเป็นวิศวกรเว็บผู้ดูแลเว็บหรือผู้ดูแลระบบ.


มีมากมาย เครื่องมือออนไลน์ สำหรับใบรับรอง SSL, การทดสอบช่องโหว่ SSL / TLS แต่เมื่อมาถึงการทดสอบ URL ที่อ้างอิงจากอินทราเน็ต, วีไอพี, ไอพีนั้นจะไม่เป็นประโยชน์.

ในการแก้ไขปัญหาทรัพยากรอินทราเน็ตคุณต้องใช้ซอฟต์แวร์ / เครื่องมือแบบสแตนด์อโลนซึ่งคุณสามารถติดตั้งในเครือข่ายของคุณและทำการทดสอบที่จำเป็น.

อาจมีสถานการณ์ต่าง ๆ เช่น:

  • มีปัญหาระหว่างการใช้งานใบรับรอง SSL กับเว็บเซิร์ฟเวอร์
  • ต้องการให้แน่ใจว่ารหัสลับล่าสุด / เฉพาะโปรโตคอลกำลังถูกใช้
  • หลังการใช้งานต้องการตรวจสอบการกำหนดค่า
  • ความเสี่ยงด้านความปลอดภัยที่พบในผลการทดสอบการเจาะระบบ

เครื่องมือต่อไปนี้มีประโยชน์ในการแก้ไขปัญหาดังกล่าว.

DeepViolet

DeepViolet เป็นเครื่องมือสแกน SSL / TLS ที่ใช้ Java เป็นแบบไบนารี่หรือคุณสามารถคอมไพล์ด้วยซอร์สโค้ดได้.

หากคุณกำลังมองหาทางเลือกของ SSL Labs ที่จะใช้ในเครือข่ายภายใน DeepViolet จะเป็นทางเลือกที่ดี มันสแกนหาสิ่งต่อไปนี้.

  • ตัวเลขอ่อนแอสัมผัส
  • อัลกอริธึมที่อ่อนแอ
  • สถานะการเพิกถอนการรับรอง
  • สถานะการหมดอายุของใบรับรอง
  • เห็นภาพ Trust-chain ซึ่งเป็นรูตที่ลงนามเอง

การวินิจฉัย SSL

ประเมินความแรงของ SSL ของเว็บไซต์ของคุณอย่างรวดเร็ว. การวินิจฉัย SSL แยกโปรโตคอล SSL, ชุดรหัส, heartbleed, BEAST.

ไม่ใช่แค่ HTTPS แต่คุณสามารถทดสอบความแรงของ SSL สำหรับ SMTP, SIP, POP3 และ FTPS.

SSLyze

SSLyze เป็น Python ไลบรารี่และเครื่องมือบรรทัดคำสั่งที่เชื่อมต่อกับ SSL endpoint และทำการสแกนเพื่อระบุการพลาดของ SSL / TLS.

การสแกนผ่าน SSLyze นั้นรวดเร็วเนื่องจากมีการทดสอบการกระจายผ่านหลายกระบวนการ หากคุณเป็นนักพัฒนาซอฟต์แวร์หรือคุณต้องการรวมกับแอปพลิเคชันที่มีอยู่ของคุณคุณมีตัวเลือกในการเขียนผลลัพธ์ในรูปแบบ XML หรือ JSON.

SSLyze ยังมีอยู่ใน Kali Linux.

OpenSSL

อย่าดูถูกดูแคลน OpenSSL ซึ่งเป็นหนึ่งในเครื่องมือแบบสแตนด์อโลนที่มีประสิทธิภาพสำหรับ Windows หรือ Linux เพื่อทำงาน SSL ต่าง ๆ ที่เกี่ยวข้องเช่นการตรวจสอบการสร้าง CSR การแปลงใบรับรอง ฯลฯ.

การสแกน Labs SSL

ชอบ Qualys SSL Labs หรือไม่ คุณไม่ได้อยู่คนเดียว ฉันรักมันเหมือนกัน.

หากคุณกำลังมองหาเครื่องมือบรรทัดคำสั่งสำหรับ SSL Labs สำหรับการทดสอบอัตโนมัติหรือแบบกลุ่ม การสแกน Labs SSL จะเป็นประโยชน์.

สแกน SSL

สแกน SSL เข้ากันได้กับ Windows, Linux และ MAC การสแกน SSL ช่วยระบุตัวชี้วัดต่อไปนี้อย่างรวดเร็ว.

  • ไฮไลต์ SSLv2 / SSLv3 / CBC / 3DES / RC4 / ciphers
  • รายงานความอ่อนแอ (<40 บิต) การเข้ารหัสโมฆะ / ไม่ระบุชื่อ
  • ตรวจสอบการบีบอัด TLS ช่องโหว่หัวใจ
  • และอีกมากมาย …

หากคุณกำลังทำงานเกี่ยวกับปัญหาที่เกี่ยวข้องกับตัวเลขการสแกน SSL จะเป็นเครื่องมือที่มีประโยชน์ในการติดตามการแก้ไขปัญหาอย่างรวดเร็ว.

TestSSL

ตามชื่อระบุ, TestSSL เป็นเครื่องมือบรรทัดคำสั่งที่เข้ากันได้กับ Linux หรือ OS มันทดสอบตัวชี้วัดที่จำเป็นทั้งหมดและให้สถานะไม่ว่าดีหรือไม่ดี.

Ex:

ทดสอบโปรโตคอลผ่านซ็อกเก็ต ยกเว้น SPDY + HTTP2

ไม่เสนอ SSLv2 (ตกลง)
ไม่เสนอ SSLv3 (ตกลง)
มี TLS 1
ข้อเสนอ TLS 1.1
มี TLS 1.2 (ตกลง)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (โฆษณาแล้ว)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (ข้อเสนอ)

การทดสอบหมวดหมู่ตัวเลขมาตรฐาน

เลขศูนย์เป็นโมฆะ (ไม่มีการเข้ารหัส) ไม่มีให้ (OK)
ไม่ระบุชื่อ NULL Ciphers (ไม่มีการรับรองความถูกต้อง) (OK)
ciphers ส่งออก (ไม่มี ADH + NULL) ไม่ได้ให้ (OK)
ต่ำ: ไม่มีการเข้ารหัส 64 บิต + DES (ไม่มีการส่งออก) (ตกลง)
128 บิต ciphers ที่อ่อนแอ (SEED, IDEA, RC [2,4]) ไม่ได้ให้ (OK)
ไม่ได้รับการนำเสนอ DES สามเท่า (ปานกลาง) (OK)
การเข้ารหัสระดับสูง (AES + Camellia ไม่มี AEAD) ให้ (OK)
มีการเข้ารหัสที่รัดกุม (AEAD ciphers) (OK)

ทดสอบการตั้งค่าเซิร์ฟเวอร์

มีรหัสเซิร์ฟเวอร์หรือไม่ ใช่ (ตกลง)
โปรโตคอลการเจรจาต่อรอง TLSv1.2
เลขศูนย์เจรจาต่อรอง ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 บิต ECDH (P-256)
ลำดับเลขศูนย์
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

ทดสอบช่องโหว่

Heartbleed (CVE-2014-0160) ไม่เสี่ยง (OK) ไม่มีส่วนขยายการเต้นของหัวใจ
CCS (CVE-2014-0224) ไม่เสี่ยง (ตกลง)
Ticketbleed (CVE-2016-9244) การทดสอบ ไม่เสี่ยง (ตกลง)
การเจรจาต่อรองอย่างปลอดภัย (CVE-2009-3555) ไม่เสี่ยง (OK)
การเจรจาต่อรองที่เริ่มต้นโดยไคลเอ็นต์ที่ปลอดภัยไม่มีความเสี่ยง (OK)
CRIME, TLS (CVE-2012-4929) ไม่เสี่ยง (OK)
BREACH (CVE-2013-3587) อาจไม่เป็นไรใช้การบีบอัด gzip HTTP – จัดจำหน่ายเท่านั้น "/" การทดสอบ
สามารถถูกละเว้นสำหรับหน้าสแตติกหรือหากไม่มีความลับในหน้า
POODLE, SSL (CVE-2014-3566) ไม่เสี่ยง (OK)
TLS_FALLBACK_SCSV (RFC 7507) รองรับการป้องกันการดาวน์เกรด (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) ไม่เสี่ยง (OK)
FREAK (CVE-2015-0204) ไม่เสี่ยง (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) ไม่เสี่ยงกับโฮสต์และพอร์ตนี้ (OK)
ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้ใบรับรองนี้ที่อื่นด้วยบริการที่เปิดใช้งาน SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 สามารถช่วยคุณค้นหา
LOGJAM (CVE-2015-4000), การทดลองไม่เสี่ยง (OK): ไม่มีการเข้ารหัส DH EXPORT, ไม่พบคีย์ DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
ช่องโหว่ – แต่ยังรองรับโปรโตคอลที่สูงกว่า (การบรรเทาที่เป็นไปได้): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) ช่องโหว่ใช้ ciphers บล็อกการเข้ารหัส (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) ไม่พบรหัสยันต์ RC4 (OK)

อย่างที่คุณเห็นมันครอบคลุมช่องโหว่จำนวนมากการกำหนดค่าการเข้ารหัสโปรโตคอล ฯลฯ TestSSL.sh ยังมีอยู่ใน ภาพนักเทียบท่า.

หากคุณต้องการทำการสแกนระยะไกลโดยใช้ testssl.sh คุณสามารถลองใช้งานได้ สแกนเนอร์ Geekflare TLS.

สแกน TLS

คุณสามารถสร้างได้ TLS-Scan จากซอร์สหรือดาวน์โหลดไบนารีสำหรับ Linux / OSX มันดึงข้อมูลใบรับรองจากเซิร์ฟเวอร์และพิมพ์เมทริกต่อไปนี้ในรูปแบบ JSON.

  • ตรวจสอบชื่อโฮสต์
  • ตรวจสอบการบีบอัด TLS
  • การตรวจสอบการแจงนับรุ่น Cipher และ TLS
  • ตรวจสอบการใช้ซ้ำเซสชัน

รองรับโปรโตคอล TLS, SMTP, STARTTLS และ MySQL นอกจากนี้คุณยังสามารถรวมเอาท์พุทที่เกิดขึ้นในการวิเคราะห์บันทึกเช่น Splunk, ELK.

การสแกนรหัส

เครื่องมือด่วนในการวิเคราะห์สิ่งที่เว็บไซต์ HTTPS รองรับการเข้ารหัสทั้งหมด. การสแกนรหัส นอกจากนี้ยังมีตัวเลือกเพื่อแสดงผลลัพธ์ในรูปแบบ JSON มันเป็น wrapper และภายในโดยใช้คำสั่ง OpenSSL.

การตรวจสอบ SSL

การตรวจสอบ SSL เป็นเครื่องมือโอเพนซอร์ซเพื่อตรวจสอบใบรับรองและรองรับโปรโตคอลรหัสและคะแนนตาม SSL Labs.

ฉันหวังว่าเครื่องมือโอเพ่นซอร์สด้านบนจะช่วยให้คุณสามารถรวมการสแกนอย่างต่อเนื่องกับตัววิเคราะห์บันทึกที่มีอยู่และช่วยให้การแก้ไขปัญหาง่ายขึ้น.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map