SSLLABS - SSL 분석 결과 제공 사이트
이번에 설명해드릴 Tool은 SSLLABS라는 사이트 입니다. 사실 Tool이라고 하긴..좀 그렇지만 웹 사이트를 통해서 원하는 HOST에 대한 점검 결과를 확인 할 수가 있습니다. (www.ssllabs.com)
사이트 접속 시 위와 같은 사이트로 접속을 하게됩니다.
1. Test your server : 해당 서버에 대한 SSL 취약점은 점검
2. Test your Browser : 클라이언트의 사용 브라우저에 대한 취약점을 점검
3. SSL Pulse : 타 웹 사이트에 대한 SSL 취약점 통계를 보여줌
4. Documentation : SSL/TLS에 대한 참고 자료를 보여줌
SSL test test에서 "네이버"를 검색해 보았습니다.
검색을 하면 진단 퍼센트가 보여지고, 생각보단 시간이 조금 걸려요.
진단결과에 대해서는 아래 그림으로 설명합니다.
진단 결과 Overall Rating은 A+ 가 나왔습니다. 꽤높은 점수인데 , 세부사항을 살펴보겠습니다.
상세 결과를 살펴보면, "Protocol"에서는 지원하는 TLS, SSL 버전을 볼수 있습니다.
내용상으로 보았을때 TLS 1.0 ~ 1.2까지 지원, SSL 3.0~2.0은 지원하지 않는다고 되었습니다.
그 바로아래 "Cipher Suites"는 암호화 알고리즘으로, "WEAK" "해당 그림에서는 보이지 않지만 "InSecure"라고 뜬 알고리즘이 취약한 것으로 확인하면됩니다. 보통 RC4계열, MD5, SHA1 등 취약한 알고리즘들입니다.
#개인 견해 : 사실 보안상 TLS 1.2만 지원을 해야 하는데, 브라우저마다 지원하는 버전이 다르기에 범용적으로 접속을 시도하는 "네이버"는 폭 넓게 허용을 해놓았을것으로 예상됨.. 최근에 ISMS 결과에서 1.0 사용에 대한 지적을 내놓았고 1.1 이상을 사용하라는 권고를 받은 기관이있음
해당결과는 각 브라우저 및 OS에 대한 Handshake를 맺어본 결과입니다. 어떤 TLS 버전을 사용하여 연결했는지를 확인 할 수있고, 어떤 암호화알고리즘을 이용해 키교환이 이루어 졌는지 확인 할 수있습니다.
해당 부분은 종합적인 결과 페이지로, 다양한 취약인자에 대한 내용을 확인 할 수 있다.
해당 그림으로는 취약부분이없......
#개인 견해 : 요즘 취약점 진단 항목 중 취약한 HTTPS 프로토콜이라든가, 취약한 HTTPS 암호 알고리즘을 잡는 항목이 추가되는 경향임..
그래서 해당 사이트를 통해서 진단을 하게되는데.. 해당 진단 시 서버에서 조치했으나 여전히 취약로 보여지는 경우가 있어 다양한 방향으로 확인결과 서버 앞단에 보안장비들에서 걸리는 경우도 있다... 만약 담당자라면 해당 경우도 확실하게 확인이 필요하다.
'취약점 진단 유용 Tool' 카테고리의 다른 글
악성코드 분석 - autoruns 사용법 (0) | 2020.11.25 |
---|---|
쇼단(shodan) 을 이용한 모의해킹 및 정보수집 (2) | 2019.02.21 |
X64dbg 및 X32dbg 설명 및 다운로드 (3) | 2018.12.09 |
네트워크 프록시 Tool Echo Mirage (0) | 2018.11.22 |
버프스위트(Burp Suite)_Spider (0) | 2018.11.20 |