______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

SSLyze: инструмент для анализа конфигураций SSL
!!!Важно!!!
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни администрация портала не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Применение в корыстных целях карается законодательством РФ.

Сегодня мы поговорим о SSLyze. SSLyze-это инструмент написанный на Python, который может анализировать конфигурацию SSL сервера. Он разработан, чтобы быть быстрым и всеобъемлющим, и должен помочь организациям и тестировщикам определить неправильные конфигурации, влияющие на их серверы SSL.

Основные характеристики включают:

Мульти-обрабатываемая и многопоточная сканирование (это быстро)
Протокол SSL 2.0/3.0 и TLS 1.0/1.1/1.2 совместимость
Тестирование производительности: возобновление сеанса и поддержка билетов TLS
Тестирование безопасности: слабые наборы шифров, небезопасные переговоры, преступность, Heartbleed и многое другое
Проверка сертификата сервера и проверка отзыва посредством сшивания OCSP
Поддержка рукопожатий StartTLS на SMTP, XMPP, LDAP, POP, IMAP, RDP и FTP
Поддержка клиентских сертификатов при сканировании серверов, выполняющих взаимную проверку подлинности
Вывод XML для дальнейшей обработки результатов сканирования

 

Source: https://github.com/iSECPartners/sslyze
SSLyze Homepage | Kali SSLyze Repo


  • Author: iSECPartners
  • License: GPLv2

 

Давайте начнем.

Во-первых, нам нужно установить SSLyze. Перед установкой SSLyze нам необходимо установить python setuptools, используя следующую команду:

pip install —upgrade setuptools

Затем мы устанавливаем SSLyze, используя следующую команду:

pip install —upgrade sslyze

Затем, когда установка будет завершена, вы увидите экран, подобный этому:

На этом уровне, вам удалось успешно установить sslyze.

Теперь давайте используем инструмент и узнаем, что он действительно может сделать.

Чтобы запустить SSLyze и перейти в меню Справка, просто введите следующую команду:

sslyze -h

Чтобы извлечь конфигурацию конкретного веб-сайта, введите следующую команду:

sslyze –-regular www.yahoo.com

 

(Здесь мы взяли www.yahoo.com в качестве примера, вы можете заменить его на любой веб-сайт по вашему выбору)

Ваш экран должен выглядеть так (если вы использовали www.yahoo.com):

 

Вы можете прокрутить свой терминал, чтобы увидеть, какую информацию извлек инструмент.

Вы также можете вернуться в меню «Справка» и использовать команды, пока вы не получите то, что вы хотите.

SSLyze является эффективным инструментом для извлечения конфигурации ssl о сервере. Это позволяет хакеру собирать информацию, такую как дата выпуска, открытый ключ, размер ключа, статус и т. д. Он также предоставляет информацию о том, присутствует ли уязвимость OpenSSL heartbleed или нет.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх