什么是TLS&SSL？
安全套接字層（SSL）和傳輸層安全（TLS）加密通過(guò)提供通信安全（傳輸加密）和為應(yīng)用程序如網(wǎng)絡(luò)、郵件、即時(shí)消息和某些虛擬私有網(wǎng)絡(luò)（VPN）提供隱私的方式來(lái)確?；ヂ?lián)網(wǎng)和網(wǎng)絡(luò)的安全 。
因此，TLS安全配置具有重要作用，相關(guān)人員應(yīng)該把精力投入到學(xué)習(xí)和識(shí)別常見(jiàn)漏洞和安全錯(cuò)誤配置中 。

TLS/SSL安全測(cè)試工具
testssl.sh
testssl.sh是我們測(cè)試的首選工具，它包含對(duì)TLS&SSL評(píng)估要求的所有測(cè)試而且會(huì)定期更新 。
安裝
可通過(guò)執(zhí)行庫(kù)的克隆版本來(lái)安裝最新版本的testssl.sh 。
git clone https://github.com/drwetter/testssl.sh.git
testssl.sh示例
通過(guò)testssl.sh使用的測(cè)試選項(xiàng)有很多，而且你應(yīng)該使用的選項(xiàng)會(huì)嚴(yán)重依賴于你的測(cè)試要求 。以下提供了一些可概覽testssl.sh命令行options.run./testssl.sh的示例 。
在單主機(jī)上測(cè)試并以控制臺(tái)格式輸出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST
./testssl.sh –U TARGET
在單主機(jī)上測(cè)試并以HTML格式輸出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST | aha > OUTPUT-FILE.htm
在子網(wǎng)上測(cè)試所有主機(jī)并以HTML格式輸出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U 192.168.1.0/24 | aha > OUTPUT-FILE.html
同上，不過(guò)僅枚舉每個(gè)服務(wù)器支持的密碼：
./testssl.sh -E 192.168.1.0/24 | aha >OUTPUT-FILE.html
常用命令
-U，– 易受攻擊的測(cè)試全部（以下）漏洞（如適用） -H，– 心跳脆弱的測(cè)試 -I，– ccs，– ccs注射試驗(yàn)為CCS注入漏洞 -T，BigIP負(fù)載均衡器中的Ticketbleed漏洞測(cè)試 -R，– 重新談判漏洞的談判測(cè)試 -C，– 壓縮，– CRIME漏洞的檢測(cè)（TLS壓縮問(wèn)題） -B，– BREACH漏洞的測(cè)試（HTTP壓縮問(wèn)題） -O，– 面向POODLE（SSL）漏洞的測(cè)試 -Z，–tls-fallback檢查T(mén)LS_FALLBACK_SCSV緩解 -W，–sweet32測(cè)試64位塊密碼（3DES，RC2和IDEA）：SWEET32漏洞 -A，– BEAST脆弱性的測(cè)試 -L，-lucky13測(cè)試為L(zhǎng)UCKY13 -F，– FREAK漏洞測(cè)試 -J，– logjam測(cè)試LOGJAM漏洞 -D，– DROWN漏洞測(cè)試 -f，–pfs，–fs，–nsa檢查（完美）前進(jìn)保密設(shè)置 -4，– rc4，–appelbaum哪些RC4密碼正在提供
TLS&SSL漏洞測(cè)試
常見(jiàn)的TLS&SSL漏洞如下按CVE日期排序的列表，每個(gè)漏洞都提供了相應(yīng)定義，附帶自動(dòng)化和手動(dòng)（可能實(shí)現(xiàn)的情況下）測(cè)試指令 。
SWEET32(CVE-2016-2183)
定義
使用64位塊大小如3DES的傳統(tǒng)分組密碼當(dāng)以CBC（密碼分組鏈接）模式使用時(shí)易遭受碰撞攻擊 。當(dāng)使用CBC模式時(shí)，簡(jiǎn)單的生日攻擊就能識(shí)別出64位分組密碼碰撞 。當(dāng)碰撞發(fā)生時(shí)意味著輸入和輸出是一樣的，這樣就可能發(fā)動(dòng)BEAST方式的攻擊提取加密數(shù)據(jù) 。
作者Karthik Bhargavan和Gaetan Leurent能夠在網(wǎng)絡(luò)瀏覽器中運(yùn)行JavaScript（中間人攻擊）并發(fā)送大量數(shù)據(jù)引發(fā)碰撞，隨后使用這個(gè)信息恢復(fù)會(huì)話cookie 。
SWEET32測(cè)試
識(shí)別服務(wù)器是否提供3DES密碼，如果服務(wù)器支持3DES，那么易受SWEET32影響 。
SWEET32的 testssl.sh測(cè)試
利用testssl.sh識(shí)別弱密碼：
./testssl.sh –ciphers TARGET
如果輸出結(jié)果顯示3DES密碼如下截圖，那么目標(biāo)服務(wù)器易受SWEET32影響：


如果輸出如下截圖所示，那么服務(wù)器不易受SWEET32影響：


另外，你可以通過(guò)以下方式為每個(gè)協(xié)議枚舉一臺(tái)服務(wù)器所提供的所有密碼：

推薦閱讀

• 

  洗面奶用法
• 

  晝出耘田夜績(jī)麻 村莊兒女各當(dāng)家意思晝出耘田夜績(jī)麻 村莊兒女各當(dāng)家是什么意思
• 

  躲春可以打麻將嗎-躲春可以打牌嗎
• 

  專業(yè)與職業(yè)不對(duì)口怎么辦
• 

  魔淵之刃為什么一直掉血 魔淵之刃為什么自動(dòng)掉血
• 

  玉竹和什么煲湯好
• 

  預(yù)調(diào)酒和雞尾酒有什么區(qū)別
• 

  醒酒打什么針
• 

  潮汕扛大旗是干嘛呢
• 

  招財(cái)樹(shù)盆景養(yǎng)殖方法 如何養(yǎng)殖 招財(cái)樹(shù)盆景
• 

  孫悟空第一次用什么計(jì)借芭蕉扇
• 

  已婚男人沾上婚外情 已婚男人動(dòng)了情很可怕
• 

  長(zhǎng)安cx70空調(diào)離合不結(jié)合
• 

  空調(diào)制熱25度熱還是30度熱
• 

  小編教你word設(shè)計(jì)大氣夢(mèng)幻封面圖的操作方法 小編教你華為筆記本電腦進(jìn)入bios設(shè)置的方法教學(xué)
• 

  白日草怎么種 白日草怎么插花盆里

• 薊北是現(xiàn)在的什么地方
• 影視基地有哪些地方
• 香瓜什么時(shí)候成熟 香瓜茄什么時(shí)候成熟
• 暗黑破壞神不朽死靈法師套裝出處 暗黑破壞神不朽死靈法師套裝掉落地點(diǎn)
• 幫地球做清潔的小動(dòng)物
• 軌道插座適用在家中哪些地方 軌道插座怎么預(yù)留電源線
• win10更新后無(wú)法進(jìn)入桌面
• 蘋(píng)果運(yùn)行內(nèi)存不足無(wú)法運(yùn)行小程序
• 非傳統(tǒng)安全領(lǐng)域包括哪些
• 地下建筑的火災(zāi)的特點(diǎn)是什么