Hello,
Adott egy oldal, amelyet egy Apache2 webszerver szolgál ki. HTTPS elérés be van állítva (http-ről rewrite https-re), gond nélkül működik, a böngészők a tanusítványra nem panaszkodnak. Egy Acunetix-szel végzett sérülékenység vizsgálat során kiderült, hogy a webszerver akkor is kiszolgálja a kliens-t, ha az 64bites kulcsméretet ajánl fel.
Beállítottam a szerverre, hogy 128bitet követlejen meg, de nem adom vissza újraellenőrzésre, míg meg nem bizonyosodtam róla, hogy valóban működik.
Próbáltam openssl s_client-tel, de nem találtam benne olyan opciót, ahol a kulcsméretet lehet változtatni, végigolvastam a man wget-et is, hátha van valami okos ötlet benne, de nem jutottam eredményre. Acunetix-ből csak free áll rendelkezésemre, de azzal csak cross-site scripting-et lehet vizsgálni.
Kérdésem az lenne, hogy milyen eszközzel/programmal lehetne megvizsgálni, hogy valóban megköveteli-e a 128 bites titkosítást a klienstől a szerver?
Előre is köszönöm!
- 1037 megtekintés
Hozzászólások
Pl. a nessus vagy az nmap megmondja, vagy vegig lehet probalgatni openssl s_client-el valahogy igy.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni