A2SV - Сканер SSL уязвимостей

[Gidroponika]

Приветствую! В этой небольшой статье я хочу сделать обзор на сканер уязвимостей SSL*, под названием – A2SV.

· SSL— криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

· В 2014 году США сообщило об уязвимости в текущей версии протокола. SSL должен быть исключен из работы в пользу TLS (CVE-2014-3566).

Основная задача сканера выявление следующих уязвимостей, список которых пополняется автором:

· [CVE-2007-1858] Anonymous Cipher

· [CVE-2012-4929] CRIME(SPDY)

· [CVE-2014-0160] CCS Injection

· [CVE-2014-0224] HeartBleed

· [CVE-2014-3566] SSLv3 POODLE

· [CVE-2015-0204] FREAK Attack

· [CVE-2015-4000] LOGJAM Attack

· [CVE-2016-0800] SSLv2 DROWN



Установка:

> git clone https://github.com/hahwul/a2sv

> cd /a2sv

> pip install –r requirements.txt

Справка:

> python a2sv.py –h

Использование:

> python a2sv.py –t 192.168.0.XXX

Ничего уязвимого под рукой не было, но возможно кто-то найдет применение данной утилите.

Спасибо за внимание.

 

[4P4SEN]

"just installed A2SV on my server, seems to be doing its job scanning for SSL vulnerabilities. Anyone else using it? How's your experience been so far?"

 

[alekseyN]

I'm pretty familiar with A2SV, used it in some penetration testing projects. Not sure about the Russian translation, though - from what I found online, it's an SSL vulnerability scanner. Anyone try it before?

 

[slmoro2014]

"Hey guys, I just ran into this same issue with A2SV a while back. It turns out the devs released an update that fixed the vulnerability, but only if you're on the latest version. Make sure you're running the latest patch."