为Poodle测试非基于浏览器的https客户端

Question

我有一个命令行工具，可以下载像wget这样的URL(只用于vcs系统)，而不是它的源代码，我如何测试它是否容易受到贵宾狗的攻击？

有许多在线自动化工具，用于测试web服务器或web浏览器是否容易受到贵宾犬的攻击。

但是，由于我的程序只是命令行，如何检查它是否支持http上的SSLv3？

Answer 1

命令行工具不应易受贵宾犬攻击。

原因是贵宾犬是一种跨域攻击，攻击者可以向易受攻击的端点发送跨源请求，然后使用其中间人/窃听者位置读取与请求一起发送的cookie数据。

攻击者可以在浏览器中的任何来源运行Javascript，并导致浏览器向任何其他来源发出请求(使用cookie)。如果攻击者执行此块复制技巧，则接收方不拒绝记录并关闭连接的几率为1/256。如果接收方接受记录，那么攻击者就知道他们复制的cookie块的解密( XORed )和前一个块的密文等于7。因此，他们使用(平均)256个请求找到了cookie的最后一个字节。

尽管如此，SSLv3中还存在其他漏洞，这意味着建议进行升级。

• 例如TLS1 1/SSLv3 3 3重新谈判漏洞

运行SSLv3服务器是测试它的最佳方法，就像安格尔指出一样。

Answer 2

我首先要找出它使用的是哪个SSL库。如果它使用了一个旧的openssl版本(可能是嵌入式版本)，我不会感到惊讶，在这种情况下，会有许多漏洞需要考虑，这些漏洞可以很容易地提取出来，而不仅仅是贵宾狗。

作为施罗德，您可以启动一个with服务器，它不会使用以下更新内容：

openssl s_server -no_tls1 -no_tls1_1 -no_tls1_2

但是，尝试检索https://sslv3.dshield.org/vulnpoodle.png ( https://www.poodletest.com/测试的一部分)要容易得多。

sslv3.dshield.org是一个只会说ssl3的服务器。因此，如果您的工具能够检索它，它将在您使用的配置中支持SSL3。