Saturday, 13 August 2016

Scan Celah SSL pada Website Menggunakan A2SV | Auto Scanning to SSL Vulnerability


Hello World ; Sore Fans, Please Say Hello Haters ;*
hehehe, artikel kali ini Gua dapet dari Blog LinuxSec *tengkyu ster (-/\-)
yups, kali ini kita bakal bahas tool Scan Celah Website pada SSL (Secure Socket Layer), apa itu SSL o.O ? cek google yak bang ;p
Tool ini juga bagus nih utk awal melakukan pentest, apa lagi kebanyakan situs besar dan ternama memakai ssl (ber-https).

Banyak sekali bug SSL yang wajib diwaspadai. Salah satunya heartbleed yang memungkinkan attacker untuk mendapatkan informasi sensitif seperti user dan password secara ilegal. Nah kali ini saya akan membahas tools yang berguna untuk mendeteksi celah pada situs ber-https (ssl) sehingga kita bisa melakukan patching lebih dini sebelum bug tersebut dieksploitasi oleh attacker.

A2SV sendiri akan melakukan scanning otomatis terhadap target yang kita tentukan.
Berikut list vulnerability yang dapat dideteksi oleh A2SV :
  • [CVE-2014-0160] CCS Injection
  • [CVE-2014-0224] HeartBleed
  • [CVE-2014-3566] SSLv3 POODLE
  • [CVE-2015-0204] FREAK Attack
  • [CVE-2015-4000] LOGJAM Attack
  • [CVE-2016-0800] SSLv2 DROWN
Sementara ini developer juga sedang mengembangkan tools ini sehingga di versi mendatang kemungkinan tools ini juga akan ditambahkan modul baru untuk mendeteksi SSL ACCF.

Kali ini Nue mempraktekannya di Distro Linux: Kali Linux, Silahkan coba di Distro Linux kesayangan anda Masing2 :D

lanjut intip tutornya om ;p


Cara instalasi A2SV :
git clone https://github.com/hahwul/a2sv.git
cd a2sv
sudo bash install.sh
a2sv



untuk Command / perintah yang tersedia , silahkan ketikan :
a2sv -h


Untuk scanning target secara menyeluruh bisa langsung menggunakan opsi " -t " saja.
Contoh :
a2sv -t yahoo.com



Jika proses scanning sudah selesai maka hasilnya akan tampil di terminal, apakah server yang kita scan terdapat celah atau tidak.



Karena tools ini juga terus dikembangkan, ada baiknya kalian juga cek secara berkala.
Untuk update tools ini masukkan command :
a2sv --update

Kalo target yang anda Scan terdapat Vuln, silahkan langsung di eksploitasi..
hanya sedikit gambaran awal2 meng-Eksploitasi HeartBleed pada bug SSL dengan memanfaatkan NMAP.


bukan hasil result yahoo yak -_-" , ini beda target, dan ini cuma sedikit gambaran awal salah satu cara eksploitasi Heartbleed
Untuukkkkk selanjuuttnyaa silahkann Kreasikannn sendiri yoo ;p ,, bermesra mesralah dgn Linux agan wkwkkw <(")

Mudahkan o.O ? 
Stay Cool and Keep ./Crotz ,gaes :'v

Salam para penjinak pinguin :v , Penunggang Naga,  Viva Real Tux Warrior Gaes :'v wkkwkwkw
cuma pemanis, btw tengkyuh FS nya <(") , yang mau ngasih nue ep es, kirim ke fp aja yaw wkkw
bila ada kesalahan mohon di maafkan dan dibenarkan di kolom komentar kak. 
bila ada kritik, dan pertanyaan langsung aja kak ke wall fanspage kami
TKJ Cyber Art
Nue cuma niat untuk Share Tutorial, yg bertujuan utk membantu para pemula kek Nue :')
Happy Pentesting ~
Sekian dan semoga bermanfaat .. terimakasih

source and thanks toLinuxSec


./Nuenomaru

cuma seorang n00b penikmat GNU/Linux




Visit and follow :

FP         : TKJ Cyber Art
G+         : TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2
Line       : http://line.me/ti/p/%40hjl8740i

4 comments

stah kok erorr ke gini Traceback (most recent call last):
File "/root/a2sv/a2sv.py", line 301, in
runScan(checkVun)
File "/root/a2sv/a2sv.py", line 155, in runScan
poodle_result = m_poodle_run(targetIP,port)
File "/root/a2sv/module/M_poodle.py", line 23, in m_poodle_run
result = test_server(hostname, port, ssl.PROTOCOL_SSLv3, timeout)
AttributeError

[INF] Scan CCS Injection..
- [LOG] TLSv1.2 98.138.253.109:443 rejected early CCS
- [LOG] TLSv1.1 98.138.253.109:443 rejected early CCS
- [LOG] TLSv1 98.138.253.109:443 rejected early CCS
- [LOG] [SSLv3] 98.138.253.109:443 Invalid handshake.
[RES] CCS Injection Result :: 0x00
[INF] Scan HeartBleed..
- [LOG] Sending Client Hello...
- [LOG] Waiting for Server Hello...
- [LOG] Sending heartbeat request..
[RES] HeartBleed :: 0x00
[INF] Scan SSLv3 POODLE..
Traceback (most recent call last):
File "a2sv.py", line 301, in
runScan(checkVun)
File "a2sv.py", line 155, in runScan
poodle_result = m_poodle_run(targetIP,port)
File "/root/Desktop/a2sv/module/M_poodle.py", line 23, in m_poodle_run
result = test_server(hostname, port, ssl.PROTOCOL_SSLv3, timeout)
AttributeError: 'module' object has no attribute 'PROTOCOL_SSLv3'

pake linux apaan om ??
btw coba gantii target om,, masih error kah..
ikutin contoh aje dlu om

#Nuenomaru

coba ganti target om..

#Nuenomaru


EmoticonEmoticon