OpenSSL lascia tracce che un server lo utilizza?

3

Stavo pensando che forse i banner possono dare un'idea di se un server sta usando OpenSSL. C'è qualche indizio che un server stia usando OpenSSL?

- Chiarimento:

Parlando in termini esterni; come in, se sono andato a sondare il web o Shodan, c'è un modo per identificare i server che usano OpenSSL?

A coloro che sono diffidenti, sto solo chiedendo perché devo controllare se i miei server sono vulnerabili;

- Metodo possibile:

L'ho trovato su link :

$ openssl s_client -connect server.com:443 -tlsextdebug | grep “server extension”

Questo è un metodo per identificare se server.com utilizza openssl?

    
posta user2738698 08.04.2014 - 21:38
fonte

1 risposta

1

Alcuni server pubblicizzeranno la loro versione OpenSSL nelle intestazioni delle risposte HTTP da una richiesta HTTPS. Esempio:

Server: Apache 2.2.16 (Debian) mod_ssl/2.2.16 OpenSSL/0.9.8o

Queste intestazioni possono (e spesso sono) essere disabilitate o non includere questo livello di dettaglio, quindi se OpenSSL non è menzionato, non significa che il server non lo sta usando.

    
risposta data 09.04.2014 - 01:39
fonte

Leggi altre domande sui tag