FavoriteLoading
0

A2SV – SSL漏洞分析工具

A2SV是一个开源工具,用于扫描Web应用程序中的SSL漏洞。A2SV执行CCS注入,Heartbleed,Logjam,怪异攻击,匿名密码,SSL v3 POODLE,SSL v2溺水和犯罪(SPDY)的漏洞扫描。CCS是OpenSSL漏洞,充当中间人(MITM),通过访问SSL握手来拦截网络流量和窃听通信。

A2SV安装

A2SV克隆

可以使用以下命令从Github存储库克隆工具来安装A2SV。

git clone https://github.com/hahwul/a2sv.git

克隆工具后的下一步是安装OpenSSL和python包,如下所示。

cd a2sv
pip install argparse
pip install netaddr
apt-get install openssl

A2SV如何运作

安装该工具后,使用以下命令从终端运行A2Sv。

python a2sv.py

A2SV附带以下模块来测试目标Web应用程序的SSL / TLS漏洞。

Anonymous:用于检测匿名密码

crime:T检测犯罪(SPDY)漏洞

heart:找出HeartBleed漏洞

ccs:跟踪CCS注射的可能性

poodle:寻找SSLv3 POODLE

freak:识别FREAK攻击

logjam:测试LOGJAM漏洞的应用程序

drown:寻找SSLv2 DROWN问题

默认情况下,A2SV运行所有这些模块以查找目标Web应用程序中的SSL漏洞。但是,我们可以排除任何模块以限制搜索过程。

为了测试目标Web应用程序,我们可以使用目标应用程序的域名或IP地址。以下命令用于测试SSL漏洞的目标应用程序。

python a2sv.py -t <目标网址或IP地址>

该命令逐个运行所有模块,以测试应用程序的SSL漏洞。

a2sv漏洞扫描结果

扫描过程结束时显示的结果可以使用以下命令存储在文本文件中。

-o /home/yourdir/result.txt

同样,为了从上述列表中运行任何特定模块,请使用-m标志和模块名称,如以下命令所示。

python a2sv.py -t <目标IP地址> -m <模块名称>

例如,如果我们只想测试目标Web应用程序中的CCS注入漏洞,我们可以使用以下命令来指导该工具。

python a2sv.py -t <目标Web地址或IP地址> -m ccs

在这种情况下,结果以下列格式显示。

a2sv单模块扫描

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.social,我们会在最短的时间内进行处理。