Tool Tuesday – TLS/SSL Scanning Tools
Es gibt unzählige Tools und Varianten, um TLS/SSL-Verbindungen zu testen. Mit diesen drei einfachen Werkzeugen können Sie ganz einfach Ihre eigenen Konfiguration überprüfen.
Kurz vornweg: TLS (Transport Layer Security) bzw. die Vorgängerversion SSL (Secure Socket Layer) sind Protokolle, die für die verschlüsselte Datenübertragung genutzt werden. Beim Verbindungsaufbau werden zwischen Client und Server verschiedene Parameter ausgehandelt. Welche Parameter zur Aushandlung bereitstehen, wird in der Konfiguration des Servers festgelegt.
Um diese Konfiguration zu prüfen – ob für einen Penetrationstest oder für den firmeninternen Compliance Check – stehen verschiedene Tools zur Verfügung, um die Arbeit zu erleichtern.
Wir haben uns die drei Tools: O-Saft, sslscan und testssl näher angeschaut und diese miteinander verglichen.
O-Saft
O-Saft besticht zunächst mit seinem originellen Namen. Es ist ein Perl basierter Scanner mit jeder Menge Einstellmöglichkeiten. Die Besonderheit ist, dass O-Saft nicht nur die angebotenen Ciphers des Servers bewertet und ausgibt. Der Scanner kann einen TCP-Socket öffnen und SSL/TLS-Handshakes senden. Der große Vorteil an dieser Methode ist, dass ohne zusätzliche oder veraltete Bibliotheken das Vorhandensein von SSLv2 getestet werden kann.
Die Ausgabe erfolgt in Textform auf der Konsole. Diese kann wahlweise auch in eine Datei umgeleitet werden.
Mehr Informationen unter: https://github.com/OWASP/O-Saft
sslscan
sslcan muss installiert oder kompiliert werden, da es ein C-basiertes Programm ist. Das Kompilieren hat den Vorteil, dass man alte openssl Bibliotheken verwenden kann, um Beispielsweise SSLv2 oder SSLv3 zu testen.
Die Ausgabe erscheint sehr übersichtlich und in verschiedenen Farben unterteilt auf der Konsole (gut geeignet für Screenshots). Wahlweise kann die Ausgabe in Form einer XML-Datei erfolgen.
Mehr Informationen unter: https://github.com/rbsec/sslscan
testssl
testssl ist ein Bash-Skript. Daher ist kein Installieren oder Kompilieren nötig. Der Scanner bedient sich der aktuellen openssl Version auf dem System. Somit können nur Protokolle und Ciphers getestet werden, die von dem aktuellen openssl unterstützt werden.
Die Ausgabe ist sehr Umfangreich. Sie gibt nicht nur Aufschluss über die Verwendeten Cipher und Zertifikate sondern auch über mögliche Schwachstellen und Angriffe. Darüber hinaus kann die Ausgabe in verschiedene Formate, wie z.B. eine JSON-Datei oder CSV-Datei, geschrieben werden, um sie weiter zu verarbeiten.
Mehr Informationen unter: https://github.com/drwetter/testssl.sh
Haben Sie Fragen zum Thema Sicherheit von TLS/SSL? Kontaktieren Sie uns gerne!
Recent posts
Neuer Can I Trust Test Case: Browser returns secret out of pre-cached response in a CORS-Request
#1 – Neuer Can I Trust Test Case – Browser returns secret out of pre-cached response in a CORS-Request
Update – WordPress Author Security
Update: Unser WordPress Author Security Plugin ist jetzt auch im WordPress Plugin Store verfügbar.
WordPress Author Security
Wie können Sie aktiv das Enummerieren von Nutzernamen über die Autorenseiten von WordPress verhindern?
Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
Attack Afternoon – CSRF Gegenmaßnahmen #2
CSRF Gegenmaßnahmen #2: Ein anderer, zustandslosen Weg zum Schutz vor CSRF, ist die Methode des Double Submit Cookie.