A2SV是一个开源工具,用于扫描Web应用程序中的SSL漏洞。A2SV执行CCS注入,Heartbleed,Logjam,怪异攻击,匿名密码,SSL v3 POODLE,SSL v2溺水和犯罪(SPDY)的漏洞扫描。CCS是OpenSSL漏洞,充当中间人(MITM),通过访问SSL握手来拦截网络流量和窃听通信。
A2SV安装
可以使用以下命令从Github存储库克隆工具来安装A2SV。
git clone https://github.com/hahwul/a2sv.git
克隆工具后的下一步是安装OpenSSL和python包,如下所示。
cd a2sv pip install argparse pip install netaddr apt-get install openssl
A2SV如何运作
安装该工具后,使用以下命令从终端运行A2Sv。
python a2sv.py
A2SV附带以下模块来测试目标Web应用程序的SSL / TLS漏洞。
Anonymous:用于检测匿名密码
crime:T检测犯罪(SPDY)漏洞
heart:找出HeartBleed漏洞
ccs:跟踪CCS注射的可能性
poodle:寻找SSLv3 POODLE
freak:识别FREAK攻击
logjam:测试LOGJAM漏洞的应用程序
drown:寻找SSLv2 DROWN问题
默认情况下,A2SV运行所有这些模块以查找目标Web应用程序中的SSL漏洞。但是,我们可以排除任何模块以限制搜索过程。
为了测试目标Web应用程序,我们可以使用目标应用程序的域名或IP地址。以下命令用于测试SSL漏洞的目标应用程序。
python a2sv.py -t <目标网址或IP地址>
该命令逐个运行所有模块,以测试应用程序的SSL漏洞。
扫描过程结束时显示的结果可以使用以下命令存储在文本文件中。
-o /home/yourdir/result.txt
同样,为了从上述列表中运行任何特定模块,请使用-m标志和模块名称,如以下命令所示。
python a2sv.py -t <目标IP地址> -m <模块名称>
例如,如果我们只想测试目标Web应用程序中的CCS注入漏洞,我们可以使用以下命令来指导该工具。
python a2sv.py -t <目标Web地址或IP地址> -m ccs
在这种情况下,结果以下列格式显示。
【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。
发表评论