碼上歡樂
相關內容    簡體    繁體

網絡安全測試工具

本文轉載自   查看原文   2019-08-08 18:14   541    testssl.sh/ ssl/ 網絡安全

舉幾個工作中用到的安全測試工具

testssl.sh

官方網站:https://testssl.sh
這是一個傻瓜式操作的工具,clone到本地之后,直接執行命令 testssl.sh www.baidu.com 就可以執行測試

  • 再此介紹一下 LogJam:
    Logjam攻擊會對TLS協議進行攻擊。Logjam攻擊將會允許一個使用中間人攻擊的黑客將TLS鏈接的加密算法的輸出級別降至512位。這樣會使得攻擊者能夠讀取和修改使用這個鏈接進行傳輸的所有數據信息。Logjam攻擊讓我們想起了FREAK攻擊但是這個攻擊使用的是TLS協議的漏洞而不是可執行的漏洞並且它攻擊的是Diffie-Hellman密鑰交換技術而不是RSA密鑰交換技術。這個攻擊將會影響任何支持DHE_EXPORT加密的服務器並且會影響所有的現代web瀏覽器。據統計排名在前一百萬的域名中有8.4%的網站是有漏洞的

顯示一段輸出結果:

 Testing vulnerabilities 

 Heartbleed (CVE-2014-0160)                not vulnerable (OK), no heartbeat extension
 CCS (CVE-2014-0224)                       not vulnerable (OK)
 Ticketbleed (CVE-2016-9244), experiment.  not vulnerable (OK)
 ROBOT                                     not vulnerable (OK)
 Secure Renegotiation (CVE-2009-3555)      not vulnerable (OK)
 Secure Client-Initiated Renegotiation     not vulnerable (OK)
 CRIME, TLS (CVE-2012-4929)                not vulnerable (OK)
 BREACH (CVE-2013-3587)                    no HTTP compression (OK)  - only supplied "/" tested
 POODLE, SSL (CVE-2014-3566)               not vulnerable (OK)
 TLS_FALLBACK_SCSV (RFC 7507)              Downgrade attack prevention supported (OK)
 SWEET32 (CVE-2016-2183, CVE-2016-6329)    not vulnerable (OK)
 FREAK (CVE-2015-0204)                     not vulnerable (OK)
 DROWN (CVE-2016-0800, CVE-2016-0703)      not vulnerable on this host and port (OK)
                                           make sure you don't use this certificate elsewhere with SSLv2 enabled services
                                           https://censys.io/ipv4?q=ED68C58B63218E1D2AA63394B3F23ECA26FE5884C9F2235AC2D4AB6EDD2F064E could help you to find out
 LOGJAM (CVE-2015-4000), experimental      not vulnerable (OK): no DH EXPORT ciphers, no DH key detected with <= TLS 1.2
 BEAST (CVE-2011-3389)                     TLS1: ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA 
                                           VULNERABLE -- but also supports higher protocols  TLSv1.1 TLSv1.2 (likely mitigated)
 LUCKY13 (CVE-2013-0169), experimental     potentially VULNERABLE, uses cipher block chaining (CBC) ciphers with TLS. Check patches
 RC4 (CVE-2013-2566, CVE-2015-2808)        VULNERABLE (NOT ok): ECDHE-RSA-RC4-SHA RC4-SHA

結果也很清晰明了,左邊是測試項,右邊是測試結果。這其中就包含了LOGJAM的測試

scancode-toolkit

這是一個檢測代碼的協議工具,測試代碼里有沒有使用到gpl或者其它開源協議,可以輸出html, json,sqliteDB 等格式, 另外配合ScanCode-Workbench,可以比較清楚地查看
部分結果:

Netsparker

這個工具比較流行也比較權威,是收費軟件,官網: https://www.netsparker.com/
功能很強大也比較復雜,除了比較常見的網站測試以外,還可以單獨測試restful接口


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 網絡安全工具大合集 [工具] Wireshark與相關的網絡安全 CSRFTester安全測試工具 汽車網絡安全滲透測試 iperf網絡測試工具 計算機網絡--網絡安全測試 安全測試工具—AppScan的使用 web端安全測試工具 11個免費的Web安全測試工具 11個免費的Web安全測試工具
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM