diciembre 14, 2024
Voiced by Amazon Polly
Comparte en redes sociales

Existen dos herramientas muy completas para auditar la seguridad de SSL: SSLScan y SSL Audit.

SSLScan.

Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

Modo de empleo:

Comando:

sslscan [opciones] [host: puerto]

Opciones:

–targets=
Sirve para pasarle un archivo que contiene una lista de host para chequear. Los host se pueden suministrar con puertos puertos (es decir host: puerto).

–no-failed
No muestra los tipos de cifrado que no acepta el host.

–ssl2
Comprueba solamente el cifrado SSLv2.

–ssl3
Comprueba solamente el cifrado SSLv3.

–tls1
Comprueba solamente el cifrado TLSv1.

–pk=
Sirve para pasarle un archivo PKCS#12.

–pkpass=
La contraseña para PKCS#12.

–certs=
Pasarle un archivo que contiene PEM/ASN1.

–starttls
Introducir un STARTTLS para servicios smtp.

–HTTP
Prueba una conexión del HTTP.

— bugs
Buscar bugs en SLL.

–xml=
Mostrar resultados de la salida en archivo de XML.

Más información y descarga de SSLScan:
https://www.titania.co.uk/index.php?option=com_content&view=article&id=56&Itemid=68

SSL Audit.

Es otra herramienta para comprobar el tipo de cifrado SSL. Que incorpora posibilidades de Fingerprint para identificar el motor SLL del servidor, esta última opción es experimental y según el autor reporta falsos positivos.

Identifica:

• IIS7.5 (Schannel).
• IIS7.0 (Schannel).
• IIS 6.0 (Schannel).
• Apache (Openssl).
• Apache (NSS).
• Certicom.
• RSA BSAFE.

Documentación de SSL Audit:
http://www.g-sec.lu/sslaudit/documentation.pdf
Descarga de SSL Audit:
http://www.g-sec.lu/sslaudit/sslaudit.zip

3 pensamientos sobre “Auditar seguridad de SSL.

  1. Hola amigo, mira, estamos realizando un concurso-sorteo para bloggers para presentar nuestra nueva tienda, el concurso consiste en crear un post en el blog hablando de la tienda y del concurso, y los premios serán una videocámara de 12 megapíxels de calidad, y otros artículos de la tienda, aparte de descuentos, hay 5 premios, el sorteo será al azar ente los participantes, haz click aquí para entrar en la página del concurso y te informas.

    Ójala te apuntes pues por la categoría y las características de tu blog nos interesaría tenerte en el concurso. Si tienes cualquier duda tanto sobre la tienda como del concurso, te dejo mi msn: msn@informaticshop.com

    Un saludo!

  2. Sin duda dos herramientas muy interesantes para la auditoría de Secure Socket Layer, con casi todas las opciones que pueden resultar útiles desde nuestra experiencia, por lo que animamos a su prueba.

  3. Tu blog es de gran utilidad, he descargado 2 herramientas que me apoyan en el desempeño de mi trabajo, el sslscan es la tercera herramienta que empleamos gracias a tus posts.

Deja un comentario