我的znc的SSL端口不是443,网上各种SSL漏洞测试都是在443端口上进行的。
znc SSL 端口同时为 Web 服务器和 IRC 弹跳器提供服务。
如何测试 znc SSL 端口是否不容易受到 logjam、poodle、freak 等 SSL 漏洞的攻击?
答案1
尝试测试sl.sh。可以从命令行运行并提供与 ssllabs.com 几乎相同的输出(但遗憾的是没有浏览器信息),但不受端口或面向公众的网站的限制。
请注意,这是一个 shell 脚本,据我快速浏览源代码所了解,它基本上将 knowhy 在他的回答中建议的所有 openssl 命令都包装成一个易于使用的脚本。
答案2
您可以使用openssl和nmap工具测试您的 SSL 连接。
心脏出血
openssl 版本
如果版本输出是以下值之一,则您的 OpenSSL 安装容易受到 Hertbleed 攻击:1.0.1f、1.0.1e、1.0.1d、1.0.1c、1.0.1b、1.0.1a、1.0.1
来源
正如下面的评论所指出的那样,仅检查版本可能会给您带来误报,因为大多数发行版都提供不会改变 openssl 版本的安全补丁。
我发现serverfault 上的这个答案检查心脏出血:
openssl s_client -connect example.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe
贵宾犬
openssl s_client -connect example.com:443 -ssl3
如果你得到类似这样的信息
3073927320:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40 3073927320:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
一切都好。来源
僵局
openssl s_client -connect example.com:443 -ssl3
这应该输出两行:
Server public key is 4096 bit is your RSA Key size.
Server Temp Key: DH, 4096 bits is your DH-Parameter size.如果这是 1024 位或更低,则需要升级您的配置。
怪物
我发现没有办法仅使用 来测试异常攻击openssl。您可以改用nmap。
nmap --script ssl-enum-ciphers -p 443 example.com | grep EXPORT -l | wc -l
打印 1 表示易受攻击,打印 0 表示干净。