举几个工作中用到的安全测试工具

testssl.sh

官方网站:https://testssl.sh
这是一个傻瓜式操作的工具，clone到本地之后，直接执行命令 testssl.sh www.baidu 就可以执行测试

• 再此介绍一下 LogJam:
  Logjam攻击会对TLS协议进行攻击。Logjam攻击将会允许一个使用中间人攻击的黑客将TLS链接的加密算法的输出级别降至512位。这样会使得攻击者能够读取和修改使用这个链接进行传输的所有数据信息。Logjam攻击让我们想起了FREAK攻击但是这个攻击使用的是TLS协议的漏洞而不是可执行的漏洞并且它攻击的是Diffie-Hellman密钥交换技术而不是RSA密钥交换技术。这个攻击将会影响任何支持DHE_EXPORT加密的服务器并且会影响所有的现代web浏览器。据统计排名在前一百万的域名中有8.4%的网站是有漏洞的

显示一段输出结果:

 Testing vulnerabilities 

 Heartbleed (CVE-2014-0160)                not vulnerable (OK), no heartbeat extension
 CCS (CVE-2014-0224)                       not vulnerable (OK)
 Ticketbleed (CVE-2016-9244), experiment.  not vulnerable (OK)
 ROBOT                                     not vulnerable (OK)
 Secure Renegotiation