除了使用 openSSL 命令行检查服务器是否不支持密码
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
来源:https ://conetrix.com/Blog/disabling-and-verifying-sslv2-and-weak-ciphers-in-iis
我想知道是否还有其他方法可以真正确保服务器不再使用密码(如果禁用)?
问问题
3252 次
1 回答
1
另一种方法是使用Nmap(您可能必须安装它)。它是用于网络发现和安全审计的实用程序。
Nmap(我尝试过v5.51)附带一组NSE 脚本,旨在自动执行各种网络任务。
其中之一是ssl_enum_ciphers。基本上它与您描述的相同:它尝试使用不同的密码打开与服务器的连接,并根据服务器的响应(接受/拒绝连接)创建报告。
示例运行可能是:nmap --script ssl-enum-ciphers -p${PORT} ${HOST}.
欲了解更多信息类型:nmap --help。
于 2016-09-16T09:02:34.683 回答