안녕하세요? 다들 잘 지내시는지요? 정말 오랜만에 글을 올려 보네요.. 
거의 3주만인듯.. 다들 연말이니 사업마무리하시고 이제 또 망년회를 하셔야하니힘내세요 ~~~... ㅡ,.ㅡ

이번에 올리는건SSL 암호체크하는 것으로 펄로 만들어 졋는데 간단하게 체크용도 사용하면 좋을거 같습니다.

일반적인 패킷분석도구에서도 어느정도 정보는 확인할수 있으나. 이건 정말 간단하게 체크할때 사용하시면 될듯...

http://www.unspecific.com/ssl/

$ perl ./ssl-cipher-check.pl
: SSL Cipher Check: 1.2
: written by Lee 'MadHat' Heath (at) Unspecific.com
Usage: ./ssl-cipher-check.pl [ -dvwas ] []
default port is 443
-d  Add debug info (show it all, lots of stuff)
-v  Verbose.  Show more info about what is found
-w  Show only weak ciphers enabled.
-a  Show all ciphers, enabled or not
-s  Show only the STRONG ciphers enabled.

기타 참고
http://en.wikipedia.org/wiki/Secure_Sockets_Layer#Security
http://adamyoung.net/Disable-SSLv2-System-Wide

http://www.foundstone.com/us/resources/proddesc/ssldigger.htm
http://www.vandyke.com/technology/drafts.html

제 사견...
자꾸 SSL 취약점(안나올수가 없죠.. 사람이 만든건데)이 나오는데...

SSL 취약점 문서와 테스트 도구

Test Tool download : http://www.leviathansecurity.com/research.html




만약 SSL 취약점으로 인해 문제가 생겨 사업자가 민형사적 소송으로 갈 경우 이것을 어떻게 볼것인가?
망법에서는 SSL를 하라고만 햇지 명확한 기준이 없다.. 만약 법대로 햇는데 문제가 생겻다면 법에 문제가(전 법전문이 아닙니다.) 있다는 것인데..

이러면 책임소재가 어떻게 될지... 조사자 입장에서 어떻게든 협의를 찾을라면 업체 보안담당자가 취약점에 대한 사실을 알고 있었다는 사실을 입증해야 되는데.. 구두로는 부족하니 그사람의 PC의를 조사하는 수밖에는 없을거 같네요.. 
좋은 의견있으시거나 제 사견이 틀렷다면 가감히 의견주시길 바랍니다..^^

신고

'[☩ Security ☩]' 카테고리의 다른 글

GSM 크랙자료  (2) 2009.12.31
Sandboxie  (2) 2009.12.28
SSL 암호체크와 테스트  (0) 2009.12.13
JBoss Console  (0) 2009.12.02
개인정보관리사(CPPG)  (4) 2009.11.30
Cache-Control header field  (0) 2009.11.24

댓글을 달아 주세요