A2SV una herramienta de escaneo SSL

""

 

Es una herramienta que sirve para hacer escaneo de una pagina web buscando vulnerabilidades SSL.

Esta herramienta esta desarrollada en python por hahwul y la ofrece de forma gratuita en github.

La instalación de esta herramienta es muy sencilla igual que su uso, solo es necesario seguir los pasos correctos.

La instalación se ha hecho en el sistema operativo Kali linux.

Instalación de a2sv

Clonamos el repositorio de github 

git clone https://github.com/hahwul/a2sv.git

Accedemos a la carpeta a2sv 

cd a2sv

Haremos la instalacion manual

Corremos el comando pip install argparse
sirve para poder pasar argumentos luego a la herramienta.

pip install argparse --user

pip install netaddr
Hace las conexiones para los puertos que se utilizan y la configuración de la red.

pip install netaddr --user

apt-get install openssl
nos ayudar a encriptar paquetes o desencriptar paquetes, en mi caso ya lo tengo instalado.

apt-get install openssl

Para poder correr la aplicación utilizamos python a2sv.py -h

nos deplegara los parametros de ayuda que contiene la herramienta.

python a2sv.py -h

Lanzamos un escaneo para una pagina que sea HTTPS 

python a2sv.py -t url.com

no es necesario colocar www al principio.

Obetenemos los resultados del escaneo 

Podemos ver los resultados del escaneo que hemos hecho a la pagina

Debemos tomar en cuenta que necesitamos python en su version 2.7 para arriba

Les dejo una pequeña descripción de cada modulo que contiene la herramienta.

 

Anonymous Cipher CVE-2007-1858

La configuración de cifrado SSL predeterminada en Apache Tomcat 4.1.28 a 4.1.31, 5.0.0 a 5.0.30 y 5.5.0 a 5.5.17 utiliza ciertos cifrados inseguros, incluido el cifrado anónimo, que permite a los atacantes remotos obtener información confidencial o tener otros impactos no especificados.

Crime(SPDY) CVE-2012-4929

Es un exploit de seguridad contra cookies web secretas que operan sobre conexiones usando los protocolos HTTPS y SPDY y que también usan compresión.Cuando se usa para recuperar el contenido de cookies de autenticación secretas, permite al atacante llevar a cabo el secuestro de una sesión web autenticada, permitiendo así lanzar otros ataques.

HeartBleed CVE-2014-0160

Es un agujero de seguridad de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.

CSS Injection CVE-2014-0224

se trata de combinar un ataque de Man-in-the-Middle (MITM) con una inyección de paquetes CCS para renegociar los atributos de seguridad de la conexión segura.

SSLv3 POODLE CVE-2014-3566

Poodle aprovecha una vulnerabilidad en SSL 3.0 y afecta a dicho protocolo de comunicación obsoleto, forzando el uso de uno no seguro.

OpenSSL FREAK CVE-2015-0204

Obliga a ciertos navegadores a utilizar una forma muy débil de cifrado, permite lanzar ataques desde sitios aparentemente seguros para robar información.

OpenSSL LOGJAM CVE-2015-4000

El problema radica en una vulnerabilidad en el intercambio de claves Diffie-Hellman, un algoritmo utilizado para establecer conexiones seguras entre dos partes. Esto puede ser explotado por un ataque que se ha llamado Logjam, que permite a un tercero interceptar datos.

SSLv2 DROWN CVE-2016-0800

es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas.

Conclusiones

Cuando se necesita realizar auditorías a sistemas con acceso via web es necesario que estén protegidos con HTTPS, tratando de evitar posibles ataques con la consecuencia de capturar tráfico donde se pueda engañar al usuario para obtener credenciales.

URL de la aplicación

https://github.com/hahwul/a2sv

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Conocimientos

  • Estudiante de ingeniería en sistemas