user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 12-04-2014 08:52:01
- IceF0x
- #! Gourou Linux
[Tuto]Installer le script Nmap ssl-heartbleed.nse sous Kali Linux
== Description ==
Une faille importante dans OpenSSL à été annoncée, cette vulnérabilité est surnommée « Heartbleed » et se trouve dans plusieurs versions d’OpenSSL, une bibbliothèque Open Source de chiffrement pour communiquer en SSL (Secure Socket Layer) ou TLS (Transport Security Layer).
Le script nmap detecte quel serveur sont vulnerable au bug OpenSSL Heartbleed (CVE-2014-0160).
Le code est basé sur le script Python ssltest.py de Jared Stafford
== Installation ==
Pour installer le script il suffit de télécharger le script et de le placer dans le répertoire des scripts nmap.
wget https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse -O /usr/share/nmap/scripts/ssl-heartbleed.nseEnsuite il vous faudra faire de même pour la dépendance du script sans lequel vous aurez un message d'erreur contenant cette ligne.
"This script requires the tls.lua library from http://nmap.org/nsedoc/lib/tls.html"
Pour éviter cela téléchargez le script lua dans le dossier destiné aux librairies des scripts nse
wget https://svn.nmap.org/nmap/nselib/tls.lua -O /usr/share/nmap/nselib/tls.luaEnsuite mettez à jours la base de données des scripts nmap.
nmap --script-updatedb== Utilisation ==
L'usage est simple il suffit de faire appel au script lors du scan de votre site avec nmap.
nmap -p 443 --script ssl-heartbleed <target>Résultat:
Si le site est vulnérable, la réponse devrait être:
-- PORT STATE SERVICE
-- 443/tcp open https
-- | ssl-heartbleed:
-- | VULNERABLE:
-- | The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected by SSL/TLS encryption.
-- | State: VULNERABLE
-- | Risk factor: High
-- | Description:
-- | OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading memory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves.
-- |
-- | References:
-- | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
-- | http://www.openssl.org/news/secadv_20140407.txt
-- |_ http://cvedetails.com/cve/2014-0160/== Voir aussi ==
* **(en)** http://nmap.org/nsedoc/scripts/ssl-heartbleed.html
* **(fr)** http://linuxtrack.net/viewtopic.php?id=193
* **(fr)** http://linuxtrack.net/viewtopic.php?id=921
* **(fr)** http://linuxtrack.net/viewtopic.php?id=919
Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D
Hors ligne
#2 12-04-2014 19:21:56
- koorosh
- Membre
Re : [Tuto]Installer le script Nmap ssl-heartbleed.nse sous Kali Linux
oui quand je faisais ma veille informatique l'autre jour , je suis tombé sur cette faille 
, merci du partage coyotu 
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne