Comprobación de TLS entre el cliente y el servidor

1

Hay un sitio web sin certificado HTTPS y he comprobado que está transmitiendo la contraseña del nombre de usuario en texto sin cifrar.

Escanee el sistema y la aplicación utilizando IBM Appscan y Nexpose

IBM Appscan (Web Vulnerability Scanner) no detecta HTTPS, lo que puedo confirmar abriendo el enlace en el navegador

Nepose (herramienta de exploración de vulnerabilidades) detectó que el certificado autofirmado se implementa en el puerto 443 que intentó abrir la página web con el puerto enlace pero la página redirige a la normalidad http (sin certificado) nexpose también detecta que TLS 1.0 está implementado

El proveedor de la aplicación dice que en el back-end se implementó TLS

¿Cómo puedo verificar que TLS está implementado en el back-end? Nexpose confimred it pero hay alguna otra manera

    
pregunta Ishaq Paracha 05.08.2016 - 08:35
fuente

1 respuesta

2

Use OpenSSL para intentar conectarse y volcar el certificado (si existe).

openssl s_client -connect <server>:<port>

Si no se puede conectar, TLS no está implementado. Si se conecta, obtendrás el certificado y podrás verificar su aspecto.

    
respondido por el Stephane 05.08.2016 - 09:07
fuente

Lea otras preguntas en las etiquetas