Probando clientes https no basados en navegador para Poodle

Las herramientas de la línea de comandos no deben ser vulnerables a POODLE .

El motivo es que POODLE es un ataque de dominio cruzado donde el atacante puede enviar solicitudes de origen cruzado al punto extremo vulnerable y luego usar su posición Man-in-the-Middle / eavesdropper para leer los datos de cookies enviados con la solicitud.

  

Un atacante puede ejecutar Javascript en cualquier origen en un navegador y causa   El navegador para realizar solicitudes (con cookies) a cualquier otro origen. Si   el atacante hace este truco de duplicación de bloque que tiene un 1 en 256   posibilidad de que el receptor no rechace el registro y cierre el   conexión. Si el receptor acepta el registro, el atacante lo sabe.   que el descifrado del bloque de cookies que duplicaron, XORed   con el texto cifrado del bloque anterior, es igual a siete. Asi ellos tienen   encontró el último byte de la cookie usando (en promedio) 256 solicitudes.

Dicho esto, hay otras vulnerabilidades presentes en SSLv3 que significa que se recomienda una actualización.

• por ejemplo Vulnerabilidad de renegociación TLS1 / SSLv3

Ejecutar un servidor SSLv3 es la mejor forma de probarlo, como Ángel señala .

Comenzaría por averiguar qué biblioteca SSL está usando. No me sorprendería si usara (tal vez incrustada) una versión antigua de openssl, en cuyo caso habría una serie de vulnerabilidades a tener en cuenta que podrían extraerse fácilmente, no solo un caniche.

Como señalado por schroeder , puede iniciar un servidor web que no diga nada nuevo con:

openssl s_server -no_tls1 -no_tls1_1 -no_tls1_2

Pero es mucho más fácil intentar recuperar enlace que forma parte de la enlace prueba

sslv3.dshield.org es un servidor que solo habla ssl3. Por lo tanto, si su herramienta puede recuperarla, es compatible con SSL3 en la configuración que está utilizando.