Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Attaque DROWN

nam1962

Bon, il y a çà : https://github.com/nimia/public_drown_scanner mais on s'en sert en interne ou en externe ?

genma

Dans les "usages examples", on a "python scanner.py localhost 443"
Localhost. Donc sur la machine à tester directement, probablement fonctionnel également sur une machine du réseau local.
A distance aussi, mais dans ce cas, ça peut probablement être assimilé à une tentative de "piratage" (surtout si on n'est pas propriétaire de la machine cible) et donc illégal.

bruno

De toute façon on s'en fout SSLv2 est désactivé depuis longtemps sur les machines correctement administrés.

nam1962

Pour moi oui :
https://test.drownattack.com/?site=85.236.157.66
https://test.drownattack.com/?site=planethoster.net
Mais pas pour tout le monde 😛
https://test.drownattack.com/?site=ovh.net

bruno

bruno a écritDe toute façon on s'en fout SSLv2 est désactivé depuis longtemps sur les machines correctement administrés.

Et bien j'ai dit une connerie 😉 On peut avoir SSLv2 désactivé et être vulnérable dans certaines conditions :

http://www.bortzmeyer.org/drown.html