Взлом и проверка на уязвимости

Проверка уязвимостей SSL сертификата с помощью A2SV

A2SV – это инструмент с открытым исходным кодом, используемый для сканирования уязвимостей SSL в веб-приложениях. A2SV выполняет сканирование уязвимостей для:

  • инъекций CCS;
  • heartbleed;
  • logjam;
  • freak attack;
  • анонимного шифрования;
  • SSL v3 POODLE;
  • SSL v2 Drown;
  • crime (SPDY).

CCS – это уязвимость OpenSSL, которая действует по принципу атаки «Man in the Middle» (MITM), для перехвата сетевого трафика и прослушивания сообщений через доступ к SSL с помощью «рукопожатия» (handshake).

Установка инструмента сканирования уязвимостей A2SV

Мы рекомендуем использовать Kali Linux, но если вы не хотите устанавливать новую ОС на свой компьютер, вы можете почитать нашу статью о том, как установить Kali Linux на операционной системе Windows 10.

A2SV можно установить путем клонирования инструмента из репозитория Github, используя следующую команду:

git clone https://github.com/hahwul/a2sv.git

Следующим шагом после клонирования инструмента является установка пакетов OpenSSL и python следующим образом:

cd a2sv
pip install argparse
pip install netaddr
apt-get install openssl

Запуск и использование A2SV

После установки A2Sv можно запустить с помощью терминала, используя следующую команду:

python a2sv.py

A2SV после установки может использовать следующие модули для сканирования уязвимостей SSL:

  • anonymous: для обнаружения анонимного шифра;
  • crime: обнаружение уязвимости (SPDY);
  • heart: чтобы узнать об уязвимости HeartBleed;
  • ccs: отслеживание возможностей внедрения инъекций CCS;
  • poodle: поиск уязвимости SSLv3 POODLE;
  • freak: идентификация FREAK Attack;
  • logjam: для тестирования приложения на уязвимости LOGJAM;
  • drown: поиск проблем с SSLv2 DROWN.

По умолчанию A2SV запускает все эти модули, чтобы найти любые возможные уязвимости SSL на веб-ресурсе. Однако мы можем исключить любые модули для ограничения процесса поиска.

Чтобы проверить какой-либо веб-сайт, мы можем использовать доменное имя или IP-адрес. Следующая команда используется для поиска уязвимостей SSL.

python a2sv.py  -t <target web address or IP address>

результаты общего сканирования

Все модули запускаются поочередно в процессе поиска уязвимостей SSL.

Результаты, отображаемые в конце процесса сканирования, могут быть сохранены в текстовом файле, используя следующую команду.

-o /home/yourdir/result.txt

Аналогичным образом, чтобы запустить какой-либо конкретный модуль из вышеупомянутого списка, используйте флаг -m вместе с именем модуля, как показано в следующей команде.

python a2sv.py  -t <target IP address> -m <module name>

Например, если мы хотим протестировать только уязвимость инъекции CCS на сайте, нам нужно выполнить следующую команду.

python a2sv.py  -t <target web address or IP address> -m ccs

В этом случае результаты отображаются в следующем формате.

Запуск определенного модуля в a2sv

Подписывайтесь на обновления сайта, а также на наш Telegram.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close