我正在尝试测试在 SSL 握手的各个点“切断”SSL 连接时 Web 服务器是否死机等。
我以为我曾经看到过一个工具,它可以通过向 SSL 连接发送各种输入来“压力测试”SSL 连接,其中一些输入被截断。有人听说过这样的事吗?再多的谷歌搜索似乎只能揭示 Web 服务器的“负载测试”。
AskOverflow.Dev
我正在尝试测试在 SSL 握手的各个点“切断”SSL 连接时 Web 服务器是否死机等。
我以为我曾经看到过一个工具,它可以通过向 SSL 连接发送各种输入来“压力测试”SSL 连接,其中一些输入被截断。有人听说过这样的事吗?再多的谷歌搜索似乎只能揭示 Web 服务器的“负载测试”。
系统管理员方法
流行的 TLS 实现已经为大量连接提供服务,其中一些来自试图破坏它们的人。补丁测试程序可能就足够了。首先,让社区测试人员和早期采用者尝试一下。然后,您的测试环境具有典型的工作流程。最后,在可能的情况下逐步部署到生产环境会带来大量流量。
信息安全方法
如果您的构建没有受到太多关注,您可能想尝试破坏它。当然,寻找新问题需要的不仅仅是被动使用。Security.SE在 TLS 和一般拒绝服务方面都有经验。
关于工具,寻找面向 TLS 的测试套件和模糊器。这些做无效或奇异的事情。例如,tomato42/tlsfuzzer。我没有这方面的具体经验,但它有很多功能,可以在任何 TLS 服务器上运行。
这是测试特定实现的另一种方法:“badssl.com”例如,您可以请求诸如very.badssl.com、1000-sans.badssl.com 等内容。
参考:https ://github.com/crystal-lang/crystal/commit/039673d3d99b3defe3b0f2f8e3f2dd87ef29ccbc