TLS/SSl 相关攻击漏洞及检测方法(testssl.sh)

已于 2022-08-25 09:50:31 修改
阅读量3.3k 收藏 7
点赞数
分类专栏: 安全工具 文章标签: ssl 网络 安全
于 2021-06-21 11:10:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/118082337
版权
安全工具 专栏收录该内容
183 篇文章 71 订阅 ¥19.90 ¥99.00
订阅专栏
本文介绍了SSL/TLS协议的重要性和常见的安全漏洞,如OpenSSL CCS注入、Drown、Heartbleed、POODLE等,并详细解释了这些漏洞的工作原理。同时,推荐使用testssl.sh工具进行TLS/SSL漏洞检测,保障网络安全。
摘要由CSDN通过智能技术生成

漏洞介绍

TLS/SSL介绍:
SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。

TLS/SSL主要漏洞介绍:

1. OpenSSL CCS注入漏洞 (CVE-2014-0224)
在客户端和服务端握手阶段,OpenSSL协议不合时宜地接受密码更换说明(ChangeCipherSpec :CCS),而产生了该漏洞。攻击者可以发起中间人攻击并利用此漏洞篡改或监听SSL加密传输的数据。

2. Drown跨协议攻击TLS漏洞(CVE-2016-0800)
DROWN漏洞主要利用SSLv2协议的脆弱性对TLS协议进行攻击。攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。。

3. OpenSSL FREAK Attack漏洞(CVE-2015-0204)
攻击者可拦截受影响的客户端与服务器之间的 HTTPS 连接,并强制其使用弱加密。客户端

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
Rancher v2.4.5 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
小康子的博客
12-14 7336
最近服务器被“绿盟科技”扫出该漏洞,具体是由于 Rancher 组件 etcd 版本过低造成的。 1. 升级服务器 openssl 版本 首先查看服务器 openssl 版本,升级到 1.1.1 即可,具体参考 升级 CentOS 7 openssl 版本openssl version 升级前OpenSSL 1.0.2k-fips 26 Jan 2017 升级后OpenSSL 1.1.1h 22 Sep 2020 2. 使用 testssl.sh 工具测试 testssl.sh 测.
TLS/SSl相关攻击漏洞检测方法大杂烩!
SoulCat
05-31 1万+
TLS/SSl攻击漏洞检测大全 曾以为爱可以排除万难,可万难过后,又有万难。 漏洞介绍: TLS/SSL介绍: SSL安全套接层”协议,TLS安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 TLS/SSL主要漏洞介绍: 1、 OpenSSL C...
推荐使用DROWN Scanner:一款强大的TLS漏洞检测工具
最新发布
gitblog_00016的博客
08-19 323
推荐使用DROWN Scanner:一款强大的TLS漏洞检测工具 public_drown_scanner项目地址:https://gitcode.com/gh_mirrors/pu/public_drown_scanner 项目介绍 DROWN Scanner 是一款专为检测TLS协议中DROWN攻击漏洞而设计的Python实用工具。该工具遵循GPLv2许可证,集成了scapy-ssl_tls...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
qq_42947816的博客
02-08 2万+
法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation,INRIA)的两名科学家发布了一项新研究,这是一种针对64位分组密码算法的生日攻击,其详细阐述了一种攻击手法—从用64位密码加密的TLS(HTTPS)流量恢复数据。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 5363
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
SSL-TLS安全漏洞及SLB安全漏洞问题
m0_59598029的博客
04-21 2964
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关漏洞有影响。不同点:SLB。
testssl.sh处理器:包装,用于并发批处理testssl.sh命令
01-30
该项目旨在用作更大的管道的一部分,用于通过命令文件大规模并发调用出色的SSL / TLS测试工具 。 请参阅同级项目 ,以testssl.sh可以对testssl.sh JSON结果输出文件作出React以发送通知或执行其他操作的引擎。 ...
ssl测试testssl
09-13
4. `testssl.sh`工具:这是一个开源的命令行工具,用于检测服务器支持的加密套件、协议版本和漏洞。`testssl.sh-3.0.8`是该工具的一个版本,它可以帮助用户全面地分析目标服务器的SSL/TLS配置。通过运行这个工具,...
testssl.sh-2.9dev.zip_C/C++_
08-10
testssl.sh-2.9dev.zip:C/C++编程中的SSL/TLS安全检测工具》 在信息技术领域,安全始终是不可忽视的重要一环。当我们谈论网络通信时,SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议是确保...
testssl.sh 漏洞
05-01
testssl.sh是一款用于测试服务器SSL/TLS安全性的开源工具。在使用testssl.sh对服务器进行安全性测试时,发现其存在一些漏洞: 1. 信息泄露漏洞:当使用testssl.sh检查SSL证书时,会在结果中显示证书颁发者和有效期...
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
testssl.sh:在任何端口上的任何地方测试TLSSSL加密
04-06
介绍 testssl.sh是一个免费的命令行工具,可以检查任何端口上服务器的服务是否支持TLS / SSL密码,协议以及某些加密漏洞。 主要特征 清晰的输出:您可以轻松分辨出任何东西是好是坏。 机器可读的输出(CSV,两种JSON格式) 无需安装或配置任何东西。 没有宝石,CPAN,点子等。 开箱即用:Linux,OSX / Darwin,FreeBSD,NetBSD,MSYS2 / Cygwin,WSL(在Windows上为bash)。 只有OpenBSD需要bash。 提供了一个Dockerfile,还有一个官方的容器构建@ dockerhub。 灵活性:您不仅可以测试端口443上的Web服务器,还可以测试任何启用SSL / TLS和STARTTLS服务。 工具箱:几个命令行选项帮助你运行你的测试和配置您的输出。 可靠性:功能经过全面测试。 隐私权:只有您自己看到结果
Python-利用testsslsh进行TLSSSL安全质量扫描并将结果导到ElasticSearch中
08-10
利用testssl.sh进行TLS/SSL安全质量扫描并将结果导到ElasticSearch中
SSL漏洞及其利用工具(SSL会话劫持)
asli33的专栏
07-06 3011
各种安全会议都提到了SSL的问题。独立安全专家Moxie Marlinspike 用相当令人信服的证据解释了他是如何绕过SSL安全机制的。SSL漏洞利用的新工具 SSL Strip,让人们再次为 WiFi 和 洋葱代理网络安全而担.SSL Strip (下称
windows 修复SSL/TLS协议信息泄露漏洞
Hu_wen的专栏
08-15 3075
打开“SSL密码套件顺序”,更改为已启用,并在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,定位到计算机配置-管理模板-网络-SSL配置设置。...
新增SSL漏洞检测插件
weixin_34128501的博客
11-29 616
信息摘要: 发现SSL/TLS中存在的漏洞风险,可能造成中间人安全限制绕过等安全风险适用客户: 互联网、新零售、政府、金融等企业客户版本/规格功能: 增加15个SSL漏洞检测插件: SSLv3 POODLE 漏洞 SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000) SSL/TLS 使用了弱加密算法 RC4 SSL/TL...
渗透测试工具——漏洞扫描工具
m0_61101264的博客
05-17 714
步骤3:选中需要Fuzz测试的位置,点击右侧“Add”按钮,在出现的Payloads”对话框中继续点击“Add”按钮,在弹出的Add Payload对话框中,“类型”选择“File Fuzzers",将列表中的"jbrofuzz"->injection"文件添加进去。恶意程序大规模传播并危害互联网:厂商发布补丁程序和安全预警将更进一步的让整个黑客社区了解出现新的安全漏洞和相应的渗透代码、恶意程序,更多的“黑帽子”们将从互联网或社区关系网获得并使用这些恶意程序,对互联网的危害也达到顶峰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值