Rapid7 의 보고서에서 지적질 당한 구버전 SSL 사용을 어떻게 체크해야하는지 난감했는데, 역시나 OWASP 에서 상세히 설명하고 있다.


https://www.owasp.org/index.php/Testing_for_SSL-TLS_(OWASP-CM-001)


1. nessus 로 스캔

2. openssl 으로 특정 SSL 버전을 주고 직접 붙어보기.
 ex: c:\> openssl s_client -no_tls1 -no_ssl3 -connect www.google.com:443 

3. SSLScan 사용하기.
 3.1 http://code.google.com/p/sslscan-win/ 다운로드
 3.2 c:\> SSLScan --no-failed mail.google.com


결과에서 sslV2 중에 약한 암호화 강도 알고리즘을 사용한것만 찾아낸다.

암호화 강도가 약한놈들을 모르겠다면 나처럼 sslv3 랑 tlsv1 만 세팅한다.

 

+ Recent posts