Verifica TLS tra client e server

1

C'è un sito Web senza certificato HTTPS e ho verificato che stia trasmettendo la password del nome utente in testo non crittografato.

Ho scansionato il sistema e l'applicazione utilizzando IBM Appscan e Nexpose

IBM Appscan (Web Vulnerability Scanner) non rileva HTTPS che posso confermare aprendo il link sul browser

Il software Nepose (Vulnerability Scanning) ha rilevato che il certificato autofirmato è implementato sulla porta 443 che tentava di aprire la pagina web con il port link ma i reindirizzamenti di pagina alla normale http (nessun certificato) nexpose rileva anche TLS 1.0 è implementato

Il fornitore di applicazioni dice che sul back-end TLS è implementato

Come posso verificare che TLS sia implementato sul back-end? Nexpose lo ha confuso ma esiste in altro modo

    
posta Ishaq Paracha 05.08.2016 - 08:35
fonte

1 risposta

2

Utilizzare OpenSSL per tentare di connettersi e scaricare il certificato (se presente).

openssl s_client -connect <server>:<port>

Se non riesce a connettersi, TLS non è implementato. Se si connette, otterrai il certificato e potrai controllare come appare.

    
risposta data 05.08.2016 - 09:07
fonte

Leggi altre domande sui tag