En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas para test de penetración en SSL.

Existen dos herramientas de código abierto, ideales para realizar test de penetración en SSL, se trata de: SSLSmart y SSLDigger.

SSLSmart ofrece una amplia gama de características para mejorar la eficiencia de las pruebas y reducir los falsos positivos. Durante el saludo inicial SSL, el servidor web y el navegador negocian el conjunto de cifrado que se utilizará para el canal de comunicación. Si tanto el navegador y el servidor soportan un juego de cifrado común, se establece un canal de comunicación para la transferencia de datos. Si no, el resultado final es uno de los dos escenarios siguientes:

  • El servidor Web finaliza la conexión durante el apretón de manos inicial y no se transfieren datos.
  • Servidor Web completa los datos mínimos del apretón de manos, transfiere en forma de una página de error y termina la conexión. Cualquier futuro intento con estos conjuntos de cifrado no compatibles, se encuentran con el mismo resultado.

Dado que se establece una conexión SSL completa y los datos se transfieren en el segundo escenario anterior, la mayoría de las herramientas de prueba de SSL (incluyendo escáneres comerciales) pueden concluir falsamente, que el conjunto de cifrado es compatible. Por tanto, es importante, que los que testean las vulnerabilidades puedan ver la respuesta del servidor real para cada conjunto de cifrado.

SSLSmart ofrece dos tipos diferentes de análisis para investigar y eliminar los falsos positivos debido a este comportamiento:

Content Scan (por defecto):
Respuesta del servidor exacta que se puede ver en HTML y Textforms para cada suite de cifrado seleccionada para la URL a probar.

Connect Scan:
Se centra sólo en el éxito o el fracaso de conexión de socket SSL con varios conjuntos de cifrado. Este comportamiento no ofrece ninguna ventaja sobre las herramientas de prueba SSL existentes y por lo tanto, es propenso a tener problemas similares con los falsos positivos. Sin embargo, esta exploración es más rápida y consume menos recursos de red y CPU.

Más información y descarga de SSLSmart:
http://www.mcafee.com/us/downloads/free-tools/sslsmart.aspx


SSLDigger es una herramienta para evaluar la seguridad de los servidores SSL mediante pruebas de los cifrados soportados.

Características:

  • Soporte completo usando el control del navegador Microsoft Internet Explorer.
  • Apoyo para el funcionamiento de la herramienta en el modo por lotes, para operar en varios sitios al mismo tiempo. Una función  muy útil para probar un gran número de sitios web . La entrada para que la herramienta procese, se proporciona, en este caso a través de un archivo de texto. El contenido de este archivo es simplemente los sitios web separados en líneas.
  • La herramienta es compatible con la presentación de informes en tres formatos diferentes. Un formato XML, que es compatible para proporcionar acceso a los datos brutos recogidos . El formato CSV, que permite al usuario abrir el informe en un programa de hoja de cálculo. El formato más gráfico es el código HTML, un informe que proporciona enlaces  a las URLs que se han probado.

Más información y descarga de SSLDigger:
http://www.mcafee.com/us/downloads/free-tools/ssldigger.aspx


Hardening SSL/TLS.
http://vtroger.blogspot.com.es/2011/10/hardening-ssltls.html

Seguridad en el protocolo SSL:
http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html

Auditar seguridad de SSL:
http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html
Herramientas para test de penetración en SSL. Herramientas para test de penetración en SSL. Reviewed by Álvaro Paz on jueves, diciembre 12, 2013 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.