今天我们来讲一下实战操作验证OpenSSL POODLE漏洞的方法,以下的操作实例都是通过漏洞扫描系统,扫描出存在相应漏洞的站点URL,由于系统存在一些误报,所以必须经过人工验证,才能确定漏洞的确存在。
一、漏洞概述
POODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。
二、漏洞验证
1、SSL Server Test工具验证
SSL Server Test是一款在线漏洞检测工具,网址为:https://www.ssllabs.com/ssltest/,界面如下图所示:
我们只需要把存在漏洞的网址放入“Hostname”输入框中,点击“Submit”,需要注意的是SSL Server Test在线检测工具免费版只支持域名检测ÿ