Tool Tuesday – TLS/SSL Scanning Tools
Es gibt unzählige Tools und Varianten, um TLS/SSL-Verbindungen zu testen. Mit diesen drei einfachen Werkzeugen können Sie ganz einfach Ihre eigenen Konfiguration überprüfen.
Kurz vornweg: TLS (Transport Layer Security) bzw. die Vorgängerversion SSL (Secure Socket Layer) sind Protokolle, die für die verschlüsselte Datenübertragung genutzt werden. Beim Verbindungsaufbau werden zwischen Client und Server verschiedene Parameter ausgehandelt. Welche Parameter zur Aushandlung bereitstehen, wird in der Konfiguration des Servers festgelegt.
Um diese Konfiguration zu prüfen – ob für einen Penetrationstest oder für den firmeninternen Compliance Check – stehen verschiedene Tools zur Verfügung, um die Arbeit zu erleichtern.
Wir haben uns die drei Tools: O-Saft, sslscan und testssl näher angeschaut und diese miteinander verglichen.
O-Saft
O-Saft besticht zunächst mit seinem originellen Namen. Es ist ein Perl basierter Scanner mit jeder Menge Einstellmöglichkeiten. Die Besonderheit ist, dass O-Saft nicht nur die angebotenen Ciphers des Servers bewertet und ausgibt. Der Scanner kann einen TCP-Socket öffnen und SSL/TLS-Handshakes senden. Der große Vorteil an dieser Methode ist, dass ohne zusätzliche oder veraltete Bibliotheken das Vorhandensein von SSLv2 getestet werden kann.
Die Ausgabe erfolgt in Textform auf der Konsole. Diese kann wahlweise auch in eine Datei umgeleitet werden.
Mehr Informationen unter: https://github.com/OWASP/O-Saft
sslscan
sslcan muss installiert oder kompiliert werden, da es ein C-basiertes Programm ist. Das Kompilieren hat den Vorteil, dass man alte openssl Bibliotheken verwenden kann, um Beispielsweise SSLv2 oder SSLv3 zu testen.
Die Ausgabe erscheint sehr übersichtlich und in verschiedenen Farben unterteilt auf der Konsole (gut geeignet für Screenshots). Wahlweise kann die Ausgabe in Form einer XML-Datei erfolgen.
Mehr Informationen unter: https://github.com/rbsec/sslscan
testssl
testssl ist ein Bash-Skript. Daher ist kein Installieren oder Kompilieren nötig. Der Scanner bedient sich der aktuellen openssl Version auf dem System. Somit können nur Protokolle und Ciphers getestet werden, die von dem aktuellen openssl unterstützt werden.
Die Ausgabe ist sehr Umfangreich. Sie gibt nicht nur Aufschluss über die Verwendeten Cipher und Zertifikate sondern auch über mögliche Schwachstellen und Angriffe. Darüber hinaus kann die Ausgabe in verschiedene Formate, wie z.B. eine JSON-Datei oder CSV-Datei, geschrieben werden, um sie weiter zu verarbeiten.
Mehr Informationen unter: https://github.com/drwetter/testssl.sh
Haben Sie Fragen zum Thema Sicherheit von TLS/SSL? Kontaktieren Sie uns gerne!
Recent posts
mgm sp @ Dresden
Unser zweites Büro befindet sich in Sachsens Landeshauptstadt, Dresden. Statten Sie unserem Standort dort einen Besuch ab!
mgm sp @ Heise DevSec
Mit dem Thema „Wie praxistauglich ist „DevSecOps“ wirklich? – Ein Erfahrungsbericht“ ist unsere Kollegin Maximiliane Zirm dieses Jahr auf der Heise devSec vertreten.
Pentest FAQ – #7 und #8 – Was ist ein Penetrationstest? Und was nicht?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #7 und #8 – Was ist ein Pentest? Und was nicht?
Die große Application Security Penetration Test FAQ für Auftraggeber
Haben Sie sich schon einmal gefragt was ein Pentest genau ist oder wie genau so ein Test abläuft? Diese Fragen und noch viel mehr beantwortet unsere große Application Security Penetration Test FAQ für Auftraggeber.
Tool Tuesday – nmap
Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.
