我的znc的SSL端口不是443.networking上的各种SSL漏洞testing只能在443端口上工作。
znc SSL端口同时提供Web服务器和IRC保护装置。
我如何testingznc SSL端口是否不易受像logjam,贵宾犬,怪胎等SSL漏洞的影响?
尝试testssl.sh 。 伟大的工具,可以从命令行运行,并提供几乎相同的输出作为ssllabs.com(虽然没有浏览器信息不幸),但不限于端口或面向公众的网站。
注意,这是一个shell脚本,正如我从源代码中快速了解的那样,基本上将所有知道他在回答中提出的openssl命令包装成一个很好用的脚本。
您可以使用openssl和nmap工具testing您的SSL连接。
心脏出血漏洞
openssl版本
如果版本输出是以下值之一,则OpenSSL安装容易受到Hertbleed的影响:1.0.1f,1.0.1e,1.0.1d,1.0.1c,1.0.1b,1.0.1a,1.0.1 源
正如在下面的评论中指出的,只是检查版本可能会给你一个误报,因为大多数发行版都提供了不会改变openssl版本的安全补丁。
我在serverfaultfind这个答案来检查heartbleed:
openssl s_client -connect example.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe
贵宾犬
openssl s_client -connect example.com:443 -ssl3
如果你有这样的事情
3073927320:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40 3073927320:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
一切都好。 资源
僵局
openssl s_client -connect example.com:443 -ssl3
这应该输出两行:
Server public key is 4096 bit is your RSA Key size.
Server Temp Key: DH, 4096 bits is your DH-Parameter size.如果这是1024位或更低,则需要升级您的configuration。
资源
怪物
我发现没有办法通过使用openssl来testing怪物攻击。 你可以用nmap来代替。
nmap --script ssl-enum-ciphers -p 443 example.com | grep EXPORT -l | wc -l
打印1易损性,0打印清洁。
资源