TLS-Attacker: Java-basiertes Framework für systematische Tests
Mit dem TLS-Attacker können Entwickler und Penetration-Tester TLS/SSL-Implementierungen gezielt auf Schwachstellen testen.
Der Lehrstuhl für Netzwerk- und Datensicherheit der Ruhr-Uni-Bochum (RUB-NDS) stellt ein Framework als Open Source bereit, mit dem man gezielt Angriffe auf die Transportverschlüsselung via TLS simulieren kann. Die Autoren nutzten den TLS-Attacker unter anderem bereits für Tests des anstehenden Standards TLS 1.3.
Mit TLS-Attacker kann ein Penetration-Tester etwa ganz einfach Heartbleed- oder Padding-Oracle-Angriffe realisieren. Allerdings bietet das in Java realisierte Framework bislang kein GUI. Das bedeutet, für eigene Tests muss man entweder Java-Code schreiben oder passende XML-Steuerstrukturen entwerfen. Im GitHub-Repository des TLS-Attacker finden sich Beispiele für beides. (ju)