Herramienta para enumeración avanzada para SSL de OWASP
|
O-Saft enumera información sobre el certificado SSL del objetivo remoto y prueba el objetivo remoto según la lista de cifrados dada. Es una herramienta fácil de usar para mostrar información sobre el certificado SSL y prueba la conexión SSL de acuerdo con la lista de cifrados y varias configuraciones SSL.
Está diseñado para ser utilizado por probadores de penetración, auditores de seguridad o administradores de servidores. La idea es mostrar las informaciones importantes o los controles especiales con una simple llamada de la herramienta. Sin embargo, proporciona una amplia gama de opciones para que personas experimentadas puedan utilizarlo para controles completos y especiales.
O-Saft es una herramienta de línea de comandos, por lo que se puede usar sin conexión y en entornos cerrados. También hay una GUI basada en Tcl/Tk. Sin embargo, simplemente puede convertirse en una herramienta CGI en línea.
Características de O-Saft.
- Trabajando en entornos cerrados, es decir, sin conexión a Internet.
- Comprobación de disponibilidad de cifrados independientes de la biblioteca instalada.
- Comprobación de todos los cifrados posibles (hasta 65535 por protocolo SSL).
- Necesita solo perl sin módulos para verificar cifrados y protocolos.
- Principalmente los mismos resultados en todas las plataformas.
Por qué usar esta herramienta para verificar SSL cuando ya existen algunas herramientas. Las típicas herramientas de verificación SSL, pecan de:
- Falta de pruebas de cifras inusuales.
- Resultados diferentes devueltos para la misma verificación en el mismo objetivo.
- Faltan funciones (verificaciones) de acuerdo con SSL / TLS moderno.
- Falta de pruebas de configuraciones inusuales (SSL, certificado).
- Falta viabilidad para agregar pruebas propias.
Automating TLS Configuration Verification – AppSecUSA 2017:
Más información y descarga O-Saft:
1 pensamiento sobre “Herramienta para enumeración avanzada para SSL de OWASP”