Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- \subsection{Webserver Vulnerabilities (SSL)}
- \subsubsection{Verwendete Tools}
- \tool{testssl}{3.0beta}
- \subsubsection{Vorgehensweise}
- \texttt{./testssl.sh https://172.18.1.10}
- \\ \\
- Dieser Befehl testet unter anderem auf folgende Schwachstellen: \\ \\
- Heartbleed, CCS, Ticketbleed, ROBOT, Secure Renegotiation, Secure Client-Initiated Renegotiation, CRIME, BREACH, POODLE, TLS\_FALLBACK\_SCSV, SWEET32, FREAK, DROWN, LOGJAM, BEAST, LUCKY13, RC4
- \\ \\
- \textbf{Gefundene Schwachstellen:}
- \begin{itemize}
- \item Poodle, SSL (CVE-2014-3556)
- \begin{itemize}
- \item Aber \texttt{TLS\_FALLBACK\_SCSV Mitigation aktiviert (Downgrade Attack Prevention)}
- \item Angreifer kann evtl. Daten mitlesen
- \end{itemize}
- \item{LOGJAM (CVE-2015-4000)}
- \begin{itemize}
- \item{Selben Primzahlen für DH}
- \item{Downgrade TLS auf 512bits}
- \end{itemize}
- \item{RC4 (CVE-2013-2566, CVE-2015-2808}
- \begin{itemize}
- \item Plaintext-Recovery durch Single-Byte Umwandlungen
- \item {Angreifbare Ciphern}
- \begin{itemize}
- \item ECDHE-RSA-RC4-SHA
- \item RC4-SHA
- \item RC4-MD5
- \end{itemize}
- \end{itemize}
- \end{itemize}
- \subsubsection{Ergebnis}
- \lowrisk \\
- \textbf{Beschreibung:}\\
- Es gibt einige Angriffe um die Chiffre des Webservers zu brechen, diese wären allerdings meist sehr aufwendig durchzuführen.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement