SSL密钥算法检测工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞
sslciphercheck
下载:https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip
运行:CMD-cd到下载包目录下
运行命令
sslciphercheck.exe -h ip(目标地址) -p 443
检测到支持的不安全的模块
漏洞:SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞
漏洞描述
该漏洞通过RC4的不变性弱密钥,允许攻击者在特地情况下还原加密信息中的纯文本,可能就会暴露帐户密码,信用卡数据,或其他敏感信息。
漏洞检测
如果能支持RC4加密套件,则存在此漏洞,不支持则无。
openssl s_client -connect vpnsh-xtp.zts.com.cn:443 -cipher RC4
如果看到连接握手成功,可以看到证书信息则说明存在该风险漏洞
如果看到”alert handshake failure”这句话就说明该网站不存在此漏洞
修复建议
禁用RC4加密算法。