취약한 HTTPS 점검 관련 정리

웹 애플리케이션을 점검하다보면, HTTPS 관련 점검 항목을 볼 수 있다.

 

"취약한 HTTPS 프로토콜 이용", "취약한 HTTPS 암호 알고리즘 이용" 등인데, 해당 항목을 점검하는데 유용한 방법 세 가지는 아래와 같다.

 

 

1. ssllabs

점검하고자 하는 사이트와 점검자가 인터넷에만 연결되어 있다면 가장 편한 방법일 것이다.

 

https://www.ssllabs.com/

Qualys SSL Labs

 

ssllabs.com에 접속하여 점검하고자 하는 사이트의 주소를 입력하면 된다.

 

 

2. sslyze

python3을 이용하여 커맨드 라인에서 점검을 진핼할 수 있다.

 

https://github.com/nabla-c0d3/sslyze

GitHub - nabla-c0d3/sslyze: Fast and powerful SSL/TLS scanning library.

설치 방법도 간단하며, 커맨드 라인도 쉽다.

 

$ pip install —upgrade pip setuptools wheel
$ pip install —upgrade sslyze
$ python -m sslyze www.yahoo.com

 

 

3. sslscan

kali 에는 기본적으로 설치되어 있는 툴이지만, pythom3만 있다면 쉽게 설치하고 커맨드 라인에서 쉽게 사용할 수 있다.

 

https://github.com/DinoTools/pysslscan

GitHub - DinoTools/pysslscan: Framework and command-line tool to scan SSL enabled services

 

$ pip install sslscan
$ pysslscan scan --scan=server.ciphers www.test.com --ssl3

$ pysslscan --help

 

.

 

그런데 간혹 점검을 진행하다가 위 세 방법에서는 'ssl 3.0 사용', 'rc4 알고리즘 사용' 등 취약하다는 결과를 확인할 수 있지만,

 

해당 사이트의 담당자로부터 오탐이라는 피드백을 받는 경우가 있다.

 

예상컨데 서버에서 ssl 3.0은 허용으로 설정해뒀지만, 웹 방화벽 등에서 아래처럼 tls 알고리즘만 허용해서 짤리는 느낌이다.

 

Allow TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256   Allow TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   Allow TLS_RSA_WITH_AES_128_GCM_SHA256

 

SSL 3.0의 경우 크롬이나 파이어 폭스 등에서는 아에 지원조차 안 하지만, 인터넷 익스플로러에서는 SSL 3.0만 사용하여 해당 사이트가 SSL 3.0으로 접속이 가능한지 확인하는 방법이 있다.

 

"인터넷 익스플로러 > 인터넷 옵션 > 고급"에서 아래와 같이 설정하고, 인터넷 익스플로러를 통해 확인하고자 하는 사이트에 접속하면 된다.

 

SSL 3.0 사용만 체크하고 TLS는 전부 해제