Test dei client https non basati su browser per Poodle

2

Ho uno strumento da riga di comando che può scaricare qualsiasi URL come wget (solo per sistemi vcs) ma non il suo codice sorgente, come posso testarlo se è vulnerabile a POODLE?

Esistono molti strumenti automatici online per testare se un server Web o un browser Web è vulnerabile a POODLE.

Ma siccome il mio programma è solo a riga di comando, come verificare se supporta SSLv3 su http?

    
posta user2284570 24.06.2016 - 00:01
fonte

2 risposte

1

Gli strumenti a riga di comando non dovrebbero essere vulnerabili a POODLE .

Il motivo è che POODLE è un attacco interdominio in cui l'utente malintenzionato può inviare richieste di origine incrociata all'endpoint vulnerabile e quindi utilizzare la posizione Man-in-the-Middle / eavesdropper per leggere i dati dei cookie inviati con la richiesta.

An attacker can run Javascript in any origin in a browser and cause the browser to make requests (with cookies) to any other origin. If the attacker does this block duplication trick they have a 1-in-256 chance that the receiver won't reject the record and close the connection. If the receiver accepts the record then the attacker knows that the decryption of the cookie block that they duplicated, XORed with the ciphertext of the previous block, equals seven. Thus they've found the last byte of the cookie using (on average) 256 requests.

Detto questo, ci sono altre vulnerabilità presenti in SSLv3 che indicano che è consigliato un aggiornamento.

L'esecuzione di un server SSLv3 è il modo migliore per testarlo, come Ángel sottolinea .

    
risposta data 24.06.2016 - 15:45
fonte
1

Vorrei iniziare a scoprire quale libreria SSL sta utilizzando. Non sarei sorpreso se usasse (forse incorporato) una vecchia versione di openssl, nel qual caso ci sarebbe una serie di vulnerabilità da prendere in considerazione che potrebbero essere facilmente estratte, non solo barboncini.

Poiché evidenziato da schroeder , puoi avviare un server web che non parla nulla di più recente:

openssl s_server -no_tls1 -no_tls1_1 -no_tls1_2

Ma è molto più facile tentare il recupero link che fa parte del link test

sslv3.dshield.org è un server che parla solo ssl3. Pertanto, se il tuo strumento è in grado di recuperarlo, supporta SSL3 nella configurazione che stai utilizzando.

    
risposta data 24.06.2016 - 00:12
fonte

Leggi altre domande sui tag