推荐使用DROWN Scanner:一款强大的TLS漏洞检测工具

最新推荐文章于 2024-09-15 07:40:10 发布
最新推荐文章于 2024-09-15 07:40:10 发布
阅读量335 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00016/article/details/141315264
版权

推荐使用DROWN Scanner:一款强大的TLS漏洞检测工具

public_drown_scanner项目地址:https://gitcode.com/gh_mirrors/pu/public_drown_scanner

项目介绍

DROWN Scanner 是一款专为检测TLS协议中DROWN攻击漏洞而设计的Python实用工具。该工具遵循GPLv2许可证,集成了scapy-ssl_tlspyx509库,这两者同样遵循GPLv2许可证。DROWN Scanner的开发初衷是为了快速识别最常见的脆弱配置,尽管它无法准确检测所有潜在的漏洞,但它在网络安全领域中扮演着重要的角色。

项目技术分析

DROWN Scanner的核心功能是检测服务器是否支持SSLv2协议,这是DROWN攻击的关键因素之一。该工具通过集成多种网络协议分析库,如scapy和pycrypto,实现了对TLS协议的深入分析。尽管在某些系统上可能会遇到依赖问题,但项目提供了详细的安装指南和解决方案,确保用户可以在多种操作系统上顺利运行。

项目及技术应用场景

DROWN Scanner适用于以下场景:

  • 网络安全评估:企业和组织可以使用DROWN Scanner定期扫描其网络服务,确保TLS协议的安全性。
  • 渗透测试:安全专家在进行渗透测试时,可以利用DROWN Scanner快速识别目标系统的潜在漏洞。
  • 教育与研究:学术机构和研究人员可以通过DROWN Scanner深入了解TLS协议的安全性,并进行相关研究。

项目特点

  • 跨平台支持:DROWN Scanner提供了详细的安装指南,支持Debian、Fedora、CentOS、Mac和Windows等多种操作系统。
  • Docker支持:用户可以通过Docker容器快速部署和运行DROWN Scanner,简化了安装和配置过程。
  • 社区驱动:项目欢迎社区成员提交PR和反馈,不断完善和增强工具的功能。
  • 易于使用:DROWN Scanner提供了简单的命令行接口,用户可以轻松地对目标服务器进行扫描。

总之,DROWN Scanner是一款功能强大、易于使用的TLS漏洞检测工具,适用于各种网络安全场景。无论是企业安全团队还是个人用户,都可以从中受益。立即访问DROWN Scanner GitHub页面,了解更多信息并开始使用吧!

public_drown_scanner项目地址:https://gitcode.com/gh_mirrors/pu/public_drown_scanner

幸竹任
关注
tls中间件攻击漏洞验证工具及操作手册
04-16
tls中间件攻击漏洞验证工具及操作手册,包含命令工具等
SSLyze:一款快速高效的SSLTLS扫描工具
FreeBuf_的博客
06-21 1274
1、专注于速度和稳定性:SSLyze经过了严格的测试,能够支持每天可靠地扫描数十万台服务器;2、易于操作:SSLyze可以直接从CI/CD运行,以便根据Mozilla推荐TLS配置来对目标服务器执行安全检查;3、文档支持:提供了完整的Python API文档,可以直接从任何Python应用程序执行扫描任务,或直接以功能函数的形式部署到AWS Lambda;4、多类型服务器扫描:支持扫描非HTTP服务器,包括SMTP、XMPP、LDAP、POP、IMAP、RDP、Postgres和FTP服务器;
TLS/SSL测试工具
weixin_33843409的博客
05-30 1917
常用的有SSLScan,我用的是OpenSSL的: openssl s_client -connect www.baidu.com:443
网站 TLS 检测工具
sayyy的专栏
12-27 860
SSLScan: 检测SSL/TLS安全性的轻量级工具
gitblog_01153的博客
08-08 691
SSLScan: 检测SSL/TLS安全性的轻量级工具 sslscansslscan tests SSL/TLS enabled services to discover supported cipher suites项目地址:https://gitcode.com/gh_mirrors/ss/sslscan 项目介绍 SSLScan是一款轻量级的命令行工具,旨在帮助用户快速全面地评估目标服务器...
强大SSL/TLS证书检查工具:check_ssl_cert
最新发布
gitblog_01059的博客
09-15 700
强大SSL/TLS证书检查工具:check_ssl_cert check_ssl_cert A shell script (that can be used as a Nagios/Icinga plugin) to check an SSL/TLS connection. ...
TLS/SSL漏洞分析与检测
nzw1134864657的博客
07-07 3769
1.5.1 Export 加密算法 Export是一种老旧的弱加密算法,是被美国法律标示为可出口的加密算法,其限制对称加密最大强度位数为40位,限制密钥交换强度为最大512位。 1.5.2 Downgrade(降级攻击) 降级攻击是一种对计算机系统或者通信协议的攻击,在降级攻击中,攻击者故意使系统放弃新式、安全性高的工作方式,反而使用为向下兼容而准备的老式、安全性差的工作方式,降级攻击常被用于中间人攻击,讲加密的通信协议安全性大幅削弱,得以进行原本不可能做到的攻击。 在现代的回退防御中,使用单独的信号套
Drown跨协议攻击TLS漏洞分析
蔚可云的博客
02-15 2867
北京时间 2016年3月2日,OpenSSL官方发布了新的安全公告。公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞。百度云安全威胁管理团队联合百度安全应急响应中心第一时间对事件触发应急响应和全网感知,深度分析了漏洞的危害和影响范围。 经分析,攻击者利用该漏洞可突破目前广泛使用的依赖SSLTLS安全加密体系,互联网中有大约1100万站点或者服务受到此漏洞影响。 一、Drown跨协议攻击TLS漏洞分析 漏洞危害 攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包.
Python-publicdrownscanner提供对TLS的DROWN攻击扫描
08-10
Python公开的`public_drown_scanner`工具是一个用于检测服务器是否易受TLS(Transport Layer Security)协议中的DROWN攻击的安全扫描程序。DROWN攻击是一种利用SSLv2协议漏洞的跨站点中间人攻击,即使目标服务器已经...
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
热门推荐
SoulCat
05-31 1万+
TLS/SSl攻击漏洞及检测大全 曾以为爱可以排除万难,可万难过后,又有万难。 漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 TLS/SSL主要漏洞介绍: 1、 OpenSSL C...
SSL/TLS 检测工具以及 tomcat 正向加密配置例子
01-12
本资源包含一个 openssl 工具安装包 Win32OpenSSL-1_1_0c.exe,一个 tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的 server.xml、startup.bat 配置文件。关于tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的具体步骤可以参考博客《为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验》,地址:http://blog.csdn.net/defonds/article/details/54346343。
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
OpenSSL漏洞简述与网络检测方法
04-29
  由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
tlsfuzzer:SSLTLS协议测试套件和模糊器
05-13
tlsfuzzer是针对SSLv2,SSLv3,TLS 1.0,TLS 1.1,TLS 1.2和TLS 1.3实施的测试套件。 它处于开发的早期阶段,因此没有API稳定性保证。 尽管它使用模糊测试技术进行测试(传递的输入随机化),但是脚本通常以验证...
复现awvs——DROWN跨协议攻击TLS漏洞(CVE-2016-0800),LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)和Sweet32攻击漏洞(CVE-2016-2183)
记录并分享学习安全的知识点..
12-30 4078
1.首先介绍一下漏洞: (1)DROWN跨协议攻击TLS漏洞(CVE-2016-0800): 现在流行的服务器和客户端使用TLS加密,SSLTLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到,但是DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 (2)LogJam中间人安全限制绕过漏洞 (CVE-2015-4000): LogJam攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务
sslyze一键检查服务器检查服务器的 SSL/TLS 安全性(KALI工具系列二十五)
LNN0212的博客
06-15 739
SSLyze 是一个用于分析 SSL/TLS 配置的工具,可以检查服务器的 SSL/TLS 安全性。在 Kali Linux 中,你可以使用 SSLyze 来检查目标服务器的 SSL 配置。使用sslyze进行IP或者域名扫描,可以收集目标服务器的SSL/TLS信息,可以进一步测试服务器的安全性。
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复
qq274575499的博客
04-03 3012
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞
SSL/TLS 协议信息 泄露漏洞 (CVE 2016- 2183) 修复
05-19
CVE 2016-2183是一个严重的SSL/TLS协议信息泄露漏洞,也被称为"DROWN"攻击。该漏洞可以允许攻击者通过对SSLv2协议的攻击来解密在其他版本的SSL/TLS协议中传输的加密数据,从而获取敏感信息。 为了修复CVE 2016-2183漏洞,需要执行以下操作: 1. 禁用SSLv2协议 - DROWN攻击利用SSLv2协议中的漏洞,因此禁用此协议可以有效地减轻漏洞的风险。 2. 更新SSL/TLS证书 - 由于DROWN攻击可以通过在SSLv2协议中获取私人密钥来解密传输的数据,因此需要更新SSL/TLS证书以使用新的私人密钥。 3. 更新SSL/TLS实现 - 更新SSL/TLS实现以修复可能导致DROWN攻击的漏洞。 4. 检查SSL/TLS配置 - 确保SSL/TLS配置已正确配置,并遵循最佳实践。 总之,修复CVE 2016-2183漏洞需要采取一系列措施,包括禁用SSLv2协议,更新SSL/TLS证书和实现,以及检查SSL/TLS配置。这些步骤可以减轻漏洞的风险,并提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

幸竹任

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值