绿盟安全工程师渗透测试常规思路

第一篇：绿盟安全工程师渗透测试常规思路

渗透测试常规思路分析

正所谓没有人一出生就会走路，从不懂到入门到深谙，一步步慢慢来，每个人都是这样；但是在这个过程中，思路无疑是最重要的，没有做不到只有想不到，就跟咱们高中解题时有了思路就迎刃而解一样，手里拿着铲子（技巧知识）但不是道从何挖起岂不是悲哀。

下面会分享一些我自己总结的常规渗透思路。

分享的思路就像一本书的索引一样，并不是每个点都有详细的技巧和各种原理分析，而是咱们如何下手如何一步步深入，在每个点上咱们知道了思路可以在每个点上查阅资料来攻破，继续前进。好比武功的招式套路，在总体套路不变的前提的下招招精进，也可以重组创新。

0×01 野球拳：外围

招式解释

野球拳：最基础但练得好最后也非常厉害

1． 主要由于服务器配置等原因造成的信息泄露

常用google ,bing等搜索工具，轻量级的搜索出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码filetype:lst password，php远程文件包含漏洞等重要信息。

包括Robots.txt不想让百度知道的，可能没有设置forbidden访问权限，让我们知道了路径可以进入哦。

2． 端口探测——服务 该项也是针对服务器的配置来说的，在服务器配置的时候可能出现一些ftp，3389.1433等常规服务端口，则可以根据弱口令尝试，或者一些服务的基础漏洞(CVE)来使用matesploit进行处理。常用工具NMAP –A IP.3． 爬虫爬网站目录

该项是使用爬虫扫描器，对网站域名进行扫描，网站根目录下的文件，说不定能发现惊喜哦。AWVS,WWWScan。

4． Web框架漏洞

Web整体框架：

①Struts2框架漏洞，直接利用。

②ThinkPHP任意代码执行。后台框架：

其实也可以算绕过验证进入后台分类中；

①Siteservercms，cookie绕过，在sebug上可以找到相关漏洞修补信息。

②worldpress ③ewebeditor , fckeditor编辑器上传页面直接访问，根据编辑器版本，随处可查利用信息。

5． 暴力，撞库进后台

无论是前端的用户登录还是后台的管理进入，暴力破解都不失为一种以时间和字典为消耗的方法，还是有概率进入的，呵呵。

不过相比而言，根据外围探测拿到的信息，也许可以帮助我们很轻松的进入后台。撞库，也许你只拿到了一部分敏感信息，但是网络上现在裤子满天飞的状况下，撞一撞找一找，说不定密码就出来了，这个可比暴力破解快得多。

6． 弱口令

最常见最危险也最掉以轻心

7.中间件配置不当引起的问题

① IIS写漏洞（不常见了）

（常规工具“老兵”）

② 目录可访问

*8.操作系统、中间件文件解析引起的问题，Apache test.php.xx IIS test.asp;.jpg windows.asp.asp□

不是深入的话题，在上传里关注 9.php引起的一系列问题

①../../etc/passwd 直接深入 ② php引起的目录遍历

③ PHP 引起的远程文件包含（google搜索也可以直接利用）

0×02 太极：外围到内部之间的中间层（应用）

招式解释

太极：遇强则强，遇弱则弱，全是应用惹的祸 一．用户未登陆的情况下

1、注入

注入的类型实在太多，利用花样种种，① 页面调用时候的sql注入，一般直接穿山甲，sqlmap跑出来dbs和表，用来进后台用或者泄露用户信息。（DBS是否完整，网站结构库，直接利用）

② 万能密码之类的sql注入，进入前端应用或者后台管理。

③ 本站没有注入不代表就不能深入，试试旁注呢，呵呵。只是流程不一样了。

2、XSS XSS的类型不算多存储型，反射型，但是利用就是只有你想不到，没有你做不到。

和深入无关的就不说了。

① XSS盲打打后台，多半也是想进后台种种方法无果的情况下。概率有限。

② XSS DDoS。

3、信息泄露，订单遍历 用户访问权限问题。

4、密码找回漏洞（密码邮件/短信重置）

Burp可修改字段的情况下，找回其他用户密码，说不定admin的密码就被你找回了。

5、后台

后台也是一种业务，只是一种专政的隐藏的业务哈。

如何进入后台呢？在找到后台地址的前提下。和应用无关的：暴力破解，撞库，信息收集利用，弱口令，未授权访问。

① 万能密码之类的sql注入，post型注入用sqlmap dump dbs.② 利用web前端的sql注入

③ 密码找回运气好的话前端应用的admin密码和后台密码一致。（有什么查询密码88）

④ XSS盲打 cookie（成功率）

⑤ 后台框架 siteservercms等知名后台cms sebug

1、首先获取免费版软件，然后安装使用查看是否有test(admin)账户，能否直接利用，保存cookie提交看能否使用。

2、看版本，Sebug等上面有无直接利用方法

3、代码审计（北京2014绿盟安全夺旗北京分公司利用此方法成功转账）二．在模拟用户注册登陆情况下

1、认证绕过

① 万能密码

② Cookie欺骗

2、越权访问

①平行越权，其他用户信息读取、修改；

② 纵向越权，主要体现在修改密码能否通过特殊字段标记的修改管理员密码。

3、注入

Cookie post get 型，登陆后user相关应用

4、XSS 影响力、类型实在太多

① user提交的东西让后台管理员去审核

1.了解后台的提交审核流程，CSRF，给自己添加用户，（文章管理系统）2.XSS找后台，管理员浏览时Cookie传输到XSS平台 3.XSS蠕虫之类 4.订单遍历

5、上传点

① 一句话木马 ② Webshell上传

在很多情况下，没有注入的，后台进不去，上传点是最好的阵地。

网站十分重视对上传文件的保护，熟悉上传流程，被阻断在哪里，在哪里突破。

6、短信、邮箱DDoS

7、支付漏洞

① 0元任意付

②-1元退款

③ 数量整型/长整型溢出

0×03 内部（管理后台）

招式解释：迷踪步(无痕无迹，还需更深进入)既然已经进入了管理后台了，很有成就感，那么下一步的目标就是控制这台服务器，控制整个网段。。现在一般的web渗透也都到此为止了。1.上传webshell 假如你在web前端没有地方或者没办法上传webshell，那么在后台上传是一个最好的选择，这也是帮助你从业务层面上控制服务器的最佳方法。

① 后台可修改上传文件类型，欢天喜地，修改下白名单| 黑名单，上传成功，有时候不能被解析很常见，再找原因。

② 后台不能修改上传文件类型，大部分哦~不过一般来说对后台的上传校验比前端要宽松一些。

没事，咱们该怎么绕过就怎么绕过，不能绕过就88…….2.一句话木马 3.管理员的分权

假如说管理员进行了分权，拿到了管理员不是权限最高的主管理员的话还需要进行管理员提权操作。后台提权

第二篇：安全测试工程师要求

安全测试工程师招聘要求

1.有2年以上安全测试经验

2.熟练appscan、netsparker等安全测试软件

3.熟悉PHP,JAVA,c#,PYTHON至少其中一种语言

4.深入理解sql注入

5.能够书写安全测试报告，较强的文档的编写能力和问题分析能力

6.做过以下安全扫描：

网络防入侵安全漏洞扫描

程序代码安全性扫描

应用漏洞扫描

数据库漏洞扫描

7.带领安全测试小组独立完成工作，对其他员工进行培训

第三篇：网络信息安全 渗透测试

网络信息安全--课程结业报告

重庆交通大学

课程结业报告

班 级：

学 号：

姓 名：

实验项目名称：

实验项目性质：

实验所属课程：

实验室(中心)：

指 导 教 师 ：

实验完成时间：

渗透测试

设计性

网络信息安全

软件实验室

2016 年 6 月 30 日

一、概述

网络渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补。渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。渗透测试与其它评估方法不同，通常的评估方法是根据已知信息资源或其它被评估对象，去发现所有相关的安全问题。渗透测试是根据已知可利用的安全漏洞，去发现是否存在相应的信息资源。

应网络信息安全课程结课要求，于2016年5月至2016年7月期间，在MobaXterm和kail平台进行了活动主机和活动端口扫描以及漏洞扫描，最后汇总得到了该分析报告。

二、实验目的

①熟悉kali平台和MobaXterm； ②熟悉信息收集的基本方法和技巧；

③了解kali平台下活动主机和端口扫描的方法； ④了解漏洞扫描的过程；

三、渗透测试范围

此次渗透测试的对象为：10.1.74.114---Metasploitable2 Linux。

四、本次分析工具介绍

本次测试主要用到了MobaXterm、Nmap、Nessus和kali.MobaXterm是远程计算的终极工具箱。本次在MobaXterm上运行了10.1.74.111（用户名和密码是root:toor）和10.1.74.114（渗透对象，用户名和密码：msfadmin:msfadmin）。

如果在虚拟机里运行kali,首先需要安装好虚拟机，然后下载安装好渗透环境kail,然后下载安装渗透对象（Metasploitable2 Linux）。

Kali Linux预装了许多渗透测试软件，包括nmap(端口扫描器)、Wireshark(数据

包分析器)、John the Ripper(密码破解器),以及Aircrack-ng(一套用于对无线局域网进行渗透测试的软件).本次测试尝试了Metasploit，但技术不成熟，不知道哪里出错，没有成功。

图1运行Metasploit结果图

图2 运行Metasploit结果图

图3 运行Metasploit结果图3 在漏洞扫描时，因为教学网上说Kali中内置了OpenVAS的，所以打算用这个工具

作为扫描工具的，可是在我使用的kali平台里并没有这个内置的工具。

图4 没有内置OpenVAS的kali

本次实验还是使用了nmap的图形化扫描工具zenmap。Nmap是目前为止使用最广的端口扫描工具之一，软件提供一些非常实用的功能。比如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。

除了以上工具，本次还用了Nessus，这个工具是目前全世界最多人使用的系统漏洞扫描与分析软件。

五、实验主要内容及原理

1、信息收集—扫描活动主机

可以使用一些命令来进行局域网内的活动主机的扫描。常用的命令有 fping、nping、netenum、netdiscover 等。

本次渗透测试选用了netdiscover来获取LAN 中活动主机及其MAC。

2、信息收集—扫描目标主机活动端口

信息收集有两种方式，一种是命令行方式，一种是图形化界面方式。常用的命令是 namp，使用语法：nmap 参数 目标主机IP 地址。图形界面工具是zenmap。

3、信息收集—扫描漏洞

Nessus是使用比较多的系统漏洞扫描与分析软件。

六、实验过程简述

1、信息收集-扫描活动主机

实验步骤：在MobaXterm下进行命令行形式进行活动主机的扫描：

fping：扫描指定范围内的活动主机（fping-s-r 1-g 202.202.240.1 202.202.240.254）；

nping：对防火墙过滤ICMP或主机不对ICMP响应的情况，则可不使用ICMP，直接定制TCP包发出运行nping-c1--tcp-p 80--flags syn 202.202.240.6；

netenum：速度超快的活动主机扫描器（运行netenum 202.202.240.0/24 10）（10代表超时时间，越长越准确）

netdiscover：获取LAN中活动主机及其MAC等信息（运行netdiscover即可）； 也在虚拟机里进行了netdiscover扫描。

2、信息收集—扫描目标主机活动端口

实验步骤：在MobaXterm中输入下列的命令即可完成目标主机活动端口的扫描： TCP连接扫描： nmap-sT-p--PN 202.202.240.6 SYN 扫描： nmap-sS-p--PN 202.202.240.6 Xmas 扫描：nmap-sX-p--PN 202.202.240.6 Null 扫描：nmap-sN-p--PN 202.202.240.6

3、信息收集—扫描漏洞

实验步骤：Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。以下为安装及配置步骤：

下载Nessus软件进行注册，选择家庭版，注册号将发送到邮箱 使用命令dpkg-i Nessus-6.3.7-debian6_amd64.deb 命令进行安装

运行命令 /opt/nessus/bin/nessus-fetch--register（你得到的注册号）进行注册及更新模块

运行命令/opt/nessus/sbin/nessus-adduser添加用户并设为管理员（需记住，后面登录要使用）

运行命令/etc/init.d/nessusdsta启动nessus服务

打开浏览器，输入https://127.0.0.1:8834登录Nessus即可（先定策略，再扫描）

七、实验结果及分析

1、信息收集-扫描活动主机

图5使用fping扫描活动主机结果1

图6使用fping扫描活动主机结果2

通过运行fping-s-r 1-g 202.202.240.1 202.202.240.254来扫描IP地址从

202.202.240.1 到202.202.240.254的活动主机，(-s)打印出最后的结果；（-r 1）重复次数为1，默认情况下为3；（-g）生成目标列表,指定目标列表的起始和结束IP，此次起始IP为202.202.240.1，结束IP为202.202.240.254。共扫描254个目标，其中74个存活，176个不可达，没有不知的IP地址。

图7使用nping扫描活动主机结果

图8使用netenum扫描结果

使用来进行netenum扫描，显示的是202.202.240.0/24这个网段的活动主机，显示的结果。

图9netdiscover扫描结果

从上面的图中可以看出，netdiscover会显示出活动主机的IP地址、MAC地址等信息。

2、信息收集—扫描目标主机活动端口

图10 nmap扫描结果1

图11 nmap扫描结果2

图12 nmap扫描结果3

图13 nmap扫描结果4 上图是使用nmap扫描目标主机活动端口的结果，本次实验是扫描202.202.240.6的活动端口，从结果中可以看出使用TCP连接扫描和SYN扫描结果80端口是开启的，Xmas和Null扫描运行不出结果，可能是扫描的时间不够，活动端口扫描不是快速完成的。扫描结果会显示活动的端口号以及提供的服务。

下面是在虚拟机的kali平台里使用zenmap对10.1.74.114进行端口扫描的结果。由于扫描结果太多，所以只对部分进行了截图分析。

图14zenmap扫描结果

使用zenmap对活动端口进行扫描比使用命令行简单，得到的结果比输入命令得到的结果更加详细。

3、信息收集—扫描漏洞

图15Nessus扫描漏洞结果1 从扫描结果看出10.1.74.111有3个高危漏洞，18个中危漏洞，5个低危漏洞。下图为扫描10.1.74.111的部分具体漏洞图。

图16Nessus扫描结果2

八、心得体会

通过本次网络信息安全课程的学习，对渗透过程有了一定的了解，其基本步骤可总结为首先进行信息收集，可以收集的信息有活动主机、端口等等，然后扫描主机的漏洞，并对漏洞加以利用，从而达到攻击的目的。

这次设计对各个模块有了浅显的认识，深入程度还有待提高。

第四篇：安全渗透测试技术白皮书

安全渗透测试技术白皮书

2008年月 17 日

目录

4.1.1.预攻击阶段的发现.....................................................16 4.1.2.攻击阶段的操作.......................................................16 4.1.3.后攻击阶段可能造成的影响.............................................22 5.附录：..................................................................23

google、baidu 等搜索引擎获取目标信息

采用 FWtester、hping3 等工具进行防火墙规则探测

常规漏洞扫描和采用商用软件进行检测 结合使用测评工具与 Nessus 等商用或免费的扫描工具进行漏洞扫描

采用 SolarWind 对网络设备等进行发现

采用 nikto、webinspect等软件对 web 常见漏洞进行扫描

采用如AppDetectiv之类的商用软件对数据库进行扫描分析

„„

对 Web 和数据库应用进行分析 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析

用 Ethereal 抓包协助分析

用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析

手工检测 SQL 注入和 XSS 漏洞

采用类似OScanner 的工具对数据库进行分析

„„

应用分析的注意事项

检查应用系统架构、防止用户绕过系统直接修改数据库

检查身份认证模块，防止非法用户绕过身份认证

检查数据库接口模块，防止用户获取系统权限

检查文件接口模块，防止用户获取系统文件

检查其他安全威胁

其中每个环节都还有详细的checklist，读者可以自行补充。

2.2 攻击阶段

基于通用设备、数据库、操作系统和应用的攻击

可以采用各种公开及私有的缓冲区溢出程序代码，一个比较好的Exploit搜索站点是： http:// code **/ $strTemp=trim($inString);if(strlen($strTemp)>0){ $strTemp=str_replace(“'”,“＇”,$strTemp);$strTemp=str_replace('',“＼”,$strTemp);$strTemp=str_replace('“',”＂“,$strTemp);if($level==1){ $strTemp=str_replace('<',”＜“,$strTemp);$strTemp=str_replace('>',”＞“,$strTemp);$strTemp=htmlspecialchars($strTemp);} } return $strTemp;} function generateRandomCode($long=4){ global $HTTP_SESSION_VARS;for($i=0;$i<$long;$i++){ $rand.=rand(0,9);//$rand.=chr(rand(97,122));} $HTTP_SESSION_VARS[”verifyCode“]=$rand;$HTTP_SESSION_VARS[”loginTime“]=time();return $rand;} function generateVerifyCode(){ global $systemAdminPath;if(is_dir($systemAdminPath.”verifyImage“)){ $dir=@opendir($systemAdminPath.”verifyImage“);while(($file=readdir($dir))!=null){ if(time()-filemtime($systemAdminPath.”verifyImage/“.$file)>10){ @unlink($systemAdminPath.”verifyImage/“.$file);} } $im=imagecreate(45, 16);$background_color = imagecolorallocate($im, 255, 255, 255);$text_color = imagecolorallocate($im, 233, 14, 91);imagestring($im, 5, 5, 0, generateRandomCode(), $text_color);$imgFile=time().rand(0,100).”.jpg“;@imagejpeg($im,$systemAdminPath.”verifyImage/“.$imgFile);imagedestroy($im);return $systemAdminPath.”verifyImage/“.$imgFile;} } function countVisitor(){ global $systemUrl;$hand=@fopen($systemUrl.”count.txt“,”r“);$count=@fread($hand,@filesize($systemUrl.”count.txt“));@fclose($hand);return($count+0);} function checkLogin(){ global $HTTP_SESSION_VARS,$dbTools;list($count)=$dbTools->fetchArray($dbTools->getResult(”SELECT COUNT(*)FROM adminuser WHERE id='$HTTP_SESSION_VARS[loginUserId]' AND name='$HTTP_SESSION_VARS[loginUser]' “));return($count>0?true:false);} function loadHtml($file){ global

$systemAdminPath,$SystemAdmin,$system;include($systemAdminPath.$file);} function DisplayMessage($message, $withhr=true){ echo ”“.$message.”n“;if($withhr){ echo ”n“;} } function CalcPassword($password){ return md5($GLOBALS[”MD5RandomString“].$password);} function displayImage($imageFile,$width,$height){ global $systemUploadUrl;$swf=”

察看c:inetpub、纯文本、XML、LaTeX等格式保存。

5.2.2.3 Nmap和xprobe2 功能强大的端口扫描软件，支持多种协议的扫描如UDP，TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。

Xprobe2是一款利用ICMP协议识别操作系统的软件。5.2.2.4 STIF STIF是fyodor设计开发的一款自动进行渗透测试的工具框架。5.2.2.5 其它web及数据库检测工具

包括部份公开及私有的Web和数据库检测工具。

5.2.3 漏洞利用工具

中科正阳漏洞挖掘实验室收集、交换及自行研究开发的各种操作系统及应用攻击代码。

5.3 对.NET与Websphere的基本检测项目示例

.NET与websphere除了可能出现应用程序编写方面的错误外，服务器本身在历史上也出现过多种安全漏洞，在我们的基本检测项目中，对websphere的检测项目包括：

对.NET的检测项目包括：

5.4 对web及其它B/S或C/S应用进行分析

5.4.1 检查应用系统架构、防止用户绕过系统直接修改数据库

检查用户是否可以直接登录数据库？

测试登录验证页面，检查身份认证方式？ 测试登录后页面，检查是否所有页面都需要身份验证？ 检查系统是否可以被暴利破解，是否有多次登录失败锁定机制？ 检查应用程序是否有多级权限，不同权限的判别是在服务器端还是客户端？权限标志是在session还是cookie中，检查是否可以绕过权限设置？

检查系统是否可以被Session重放攻击？ 检查系统是否可以通过“取回密码功能”攻击？

5.4.3 检查数据库接口模块，防止用户获取系统权限

检查是否可以被SQL语句注入，登陆系统？ 检查是否可以被sql语句注入，调用系统程序？ 查看系统中是否用到存储过程？

查看系统是否需要文件接口？ 检查文件接口页面是否限制调用上级目录？ 检查是否已知目录？ 检查是否有例子文件？ 检查系统是否允许目录浏览？ 检查是否调用系统程序？

5.4.5 检查其他安全威胁

检查是否用户输入的信息没有经过检查和处理就以HTML方式显示 检查系统是否存在远程管理功能？

检查WEB系统和数据库或者中间件是否有加密？ 检查系统是否返回多余的错误信息 检测系统是否有元字符注入？ 检查系统是否可以被User-Agent欺骗 检查系统是否存在调试命令和参数 检查是否存在逻辑错误？

第五篇：详述SSL和TLS的Web安全渗透测试

如果Web服务中的SSL和TLS协议出现安全问题，后果会如何?很明显，这样的话攻击者就可以拥有你所有的安全信息，包括我们的用户名、密码、信用卡、银行信息……所有的一切。本文将向读者详细介绍如何针对Web服务中的SSL和TLS协议进行安全渗透测试。我们首先对这两种协议进行了概述，然后详细介绍了针对加密信道安全性的黑盒测试和白盒测试。最后列出了一些常用的安全测试工具。

一、简介

目前，许多重要的Web服务都使用了SSL和TLS协议对通信进行保护。我们知道，http协议是使用明文进行传输的，但是像网络银行之类的web应用如果使用http协议的话，那么所有的机密信息都会暴露在网络连接中，这就像银行用一个透明的信封给我们邮寄信用卡帐号和密码一样，在从银行到达用户之间任何接触过这封信的人，都能看到我们的帐号和密码。为了提高其安全性，经常需要通过SSL或者TLS隧道传输这些明文，这样就产生了https通信流量。例如网络银行之类的应用，在服务器和客户端之间传输密码，信用卡号码等重要信息时，都是通过https协议进行加密传送的。

SSL和TLS是两种安全协议，它们通过加密技术为传输的信息提供安全信道、机密性和身份验证等安全功能。我们知道由于对高级密码技术的出口限制，会造成遗留系统使用的是弱加密技术。如果系统采用了弱密码，或者说密码强度过低的话，攻击者可以在有效的时间内破解密钥，而攻击者一旦得到了密钥，就像小偷得到了我们家的钥匙一样，所有的锁都会形同虚设。但是，新Web服务器就不会使用弱加密系统了吗?答案是否定的，因为许多新Web服务器也经常被配臵成处理虚密码选项。为了实现这些安全特性，协议必须确保使用的密码算法有足够的强度，并且密码算法得到了正确的实现。即使服务器安装使用了高级的加密模块，但是如果配臵不当的话，也有可能为安全特性要求较高的通信信道的设臵了较弱的加密技术。下面，我们将详细介绍如何对这两种协议的配臵进行安全审计。

二、测试SSL/TLS的密码规范

我们知道，http协议是使用明文进行传输的，为了提高其安全性，经常需要通过SSL或者TLS隧道传输这些明文，这样就产生了https通信流量。除对传输的数据进行加密处理之外，https(安全超文本传输协议，HTTPS)还能利用数字证书为服务器或客户端提供身份标识。

过去，美国政府对加密系统的出口有许多限制，如密钥长度最大为40位，因为密钥长度越短，它就越容易破解。后来，密码出口条例已经放宽了许多，但是，检查服务器的SSL配臵仍然十分重要，因为它有可能配臵使用了弱加密技术。基于SSL的服务不应该提供选择弱密码的机会。

注意，我们这里所说的弱密码，指的是加密强度不够、容易破解的加密系统。不同的加密算法具有不同的密码强度，但是在算法一定的情况下，密钥的长度越长，加密强度越高。

技术上，选择加密技术的过程如下所示：在建立SSL连接的初期，客户端向服务器发送一个Client Hello消息，以告知服务器它支持哪些加密技术等。一般情况下，客户端通常是一个Web浏览器，所以浏览器是目前最常见的SSL客户端;然而，任何支持SSL的应用程序都可以作为SSL客户端使用。比如，有时候SSL客户端是些SSL代理(如stunnel)，它们使得那些不支持SSL的工具也能与SSL服务通信。同理，SSL服务器端通常为Web服务器，但是其他应用程序也可以充当SSL服务器端。加密套件规定了具体的密码协议(DES、RC4、AES)、密钥长度(诸如40、56或者128位)和用于完整性检验的散列算法(SHA、MD5)。收到Client Hello消息后，服务器以此确定该会话所使用的加密套件。当然，通过配臵可以规定服务器能够接受哪些密码套件，这样的话，我们就能够控制是否跟仅支持40位加密的客户端通话

三、黑盒测试

为了检测可能支持的弱密码，必须找出与SSL/TLS服务相关的端口。通常情况下，要检查端口443，因为它是标准的https端口;不过运行在443端口上的却未必是https服务，因为通过配臵，https服务可以运行在非标准的端口上，同时，Web应用程序也许使用了其它利用SSL/TLS封装的服务。一般而言，为了找出这些端口，必须找出使用了哪些服务。

利用扫描程序nmap时，加上扫描选项–sV，就能用来识别SSL服务。实际上，安全漏洞扫描器除了可以显示使用的服务之外，还能用来检查弱密码，比如，Nessus就能检查任意端口上的SSL服务，并报告弱密码。

如果攻击者在您修复弱密码之前发现了它们的话，那么您的处境可就不妙了——利用当前强大的桌面计算力，例如借助GPU的并行运算，他们能够在有效的时间内破解出密钥，然后就能解密出https信道中加密过的机密信息，如口令，用户名，如果您在使用网络银行，还能获得他们的帐号和口令，等等。所以，我们一定要在攻击者下手之前发现并修复存在的弱密码配臵。

例1.通过nmap识别SSL服务

[root@test]# nmap-F-sV localhostStarting nmap 3.75(http://#sslciphersuite This SSLv2 server also accepts SSLv3 connections.This SSLv2 server also accepts TLSv1 connections.Vulnerable hosts(以下从略)例3.利用OpenSSL以手工方式审计SSL的弱密码

这里我们试图通过SSLv2连接到Google.com：

[root@test]# openssl s_client-no_tls1-no_ssl3-connect);或者Openssl工具，它能直接从UNIX命令行下访问Openssl加密函数。为了识别基于SSL的服务，可以使用具有服务识别能力的安全漏洞扫描程序或者端口扫描程序。扫描程序nmap具有一个-sV扫描选项，用以识别服务;安全漏洞扫描程序Nessus则能识别在任意的端口上的基于SSL的服务，并对这些服务进行安全漏洞检查——不管它们是在标准端口还是非标准的端口上。

如果需要与SSL服务交互但是您喜爱的工具却不支持SSL的话，可以求助于SSL代理，例如stunnel，它能在底层协议中打通隧道跟SSL服务进行通信。

最后，尽管人们乐于使用常规浏览器来检查证书，但是浏览器通常具有许多漏洞，此外浏览器进行检测时可能受到许多不易察觉的配臵设臵的影响。相反，依靠安全漏洞扫描器或者专门的工具来进行检查则要好得多。