Parece que nos pasamos el día hablando de SSL. Normal, teniendo en cuenta ejemplos como el de la Agencia Pituitaria, el fallo que se reportó el año pasado o las coñitas que hace todo geek que se precie sobre la aleatoriedad del openssl de debian.
Hoy os presentamos una herramienta llamada SSL Audit (zip) de Thierry Zoller (G-Sec) para averiguar los cifrados SSL soportados por un servicio de este tipo y sus niveles de fortaleza. Algo similar a lo que hace serversniff.net o SSLDigger, pero un poco más potente, ya que no se limita a los soportados por OpenSSL o NSS.
Para usarlo tan solo hay que añadir el host y su puerto y pulsar sobre 'Start'. Para rematar, como opción experimental se realiza fingerprint sobre el servidor en base a la respuesta. Si hace falta más ayuda, en el archivo comprimido también se incluye un breve manual de uso, y en la web un vídeo.
La aplicación aún es Alpha y el fingerprint está verde (el autor reconoce que reporta falsos positivos), aunque por lo que he podido comprobar, funciona bastante bien.
2 comments :
te vamos a acabar llamando "mister toolman" ;)
otra "pal bote". Gracias!
señor hombre Herramienta?
Publicar un comentario