kali工具集-sslscan安全检测与HTTPS服务器部署实践

实验简介

本实验旨在通过使用phpstudy_pro工具在Windows虚拟机上部署一个支持HTTPS协议的Web服务器,并为其配置自签名SSL证书。随后,在Kali Linux系统中使用curl和sslscan等工具对搭建的HTTPS服务进行访问与安全性检测。通过该实验,学生将掌握HTTPS的基本原理、SSL/TLS证书的生成与应用方法,以及如何对Web服务的安全性进行初步评估。

技能增长

通过本次实验的学习,能够掌握使用phpstudy_pro创建网站及配置SSL证书的方法,了解如何编写简单的PHP网页文件并部署到Web根目录,并掌握使用sslscan工具扫描目标主机的SSL/TLS配置信息。

预备知识

HTTPS协议

HTTPS(Hyper Text Transfer Protocol Secure)是HTTP的安全版本,通过SSL/TLS加密技术确保客户端与服务器之间的数据传输安全,防止数据被窃取或篡改,并验证服务器身份以防止中间人攻击。它广泛应用于需要保护用户隐私和敏感信息的网站,如电子商务和银行业务。启用HTTPS不仅提升了安全性,也增强了网站的信任度。

SSL证书的作用

SSL证书在网络安全中扮演着至关重要的角色,其主要作用包括:

  • 加密通信:SSL证书确保客户端与服务器之间传输的数据是加密的。这意味着即使数据在传输过程中被截获,攻击者也无法轻易读取其中的信息。
  • 验证身份:通过SSL证书,网站可以向访问者证明其真实身份。证书由受信任的第三方证书颁发机构(CA)签发,这为网站提供了额外的信任层,有助于防止假冒网站欺骗用户。
  • 确保数据完整性:SSL证书保证了传输数据未被篡改。如果数据在传输过程中被修改,接收方能够检测到这种篡改行为。
  • 提升信任度:对于用户来说,地址栏显示的安全锁标志和"https://"前缀表明该网站已采取措施保护用户的个人信息,从而增加用户对该网站的信任。
  • SEO优化:搜索引擎如Google已经将HTTPS作为搜索排名的一个因素,采用HTTPS的网站可能在搜索结果中获得更好的排名。

实验环境

主机名:kali 用户名/密码:root/随机

IP地址:192.168.0.3

主机名:SSL

用户名/密码:administrator/123456

IP地址:192.168.0.4

实验操作

进入SSL虚拟机,点击桌面phpstudy_pro软件。进入首页后,左侧菜单【网站】

phpstudy下载地址

点击【创建网站】按钮,填写域名www.test.com,端口选择https(443端口),弹出复制证书内容方框,点击左下角平【生成开发者测试证书】按钮,最后点击确认

其他设置保持默认即可,最后点击确认

进入www.test.com站点根目录D:\phpstudy_pro\WWW\www.test.com下

该web目录下创建一个简单的页面index.php,页面代码如下:<?php echo "Hello from HTTPS server!"; ?>

注意:文件后缀一点要显示,取消勾选:隐藏已知文件类型的扩展名

回到phpstudy_pro软件首页,将apache2.4.39套件重启

切换到kali虚拟机,执行执行curl -k https://192.168.0.4/index.php发现web站点成功创建

-k:允许不适用证书的SSL连接,即它允许curl连接到使用了自签名证书的https服务器而不需证书验证

执行sslscan 192.168.0.4命令进行快速扫描,发现该服务器采用了现代的安全实践,启用了TLSv1.2和TLSv1.3,并避免了一些已知的安全风险,且使用了更为安全的2048位RSA密钥

证书从2025年5月8日开始有效,有效期至2026年5月8日,且使用了更为安全的SHA-256签名算法。由于颁发者与主题相同,这可能是一个自签名证书,在生产环境中应考虑使用由受信任的证书颁发机构签发的证书。

执行sslscan -show-certificate https://192.168.0.4命令查看站点完整证书信息

执行sslscan --no-ciphersuites https://192.168.0.4命令忽略加密套件对站点进行检测

最后,执行sslscan --xml=/result.xml https://192.168.0.4命令将结果以xml文件格式对结果进行保存

执行cat /result.xml命令查看文件内容,确定存档成功

特别声明:

此文章仅供参考,如用作非法交易造成一定损失或触犯法律,作者一概不负!!!!! 请勿用于非法途径,仅供参考。传送门 -----------> 《中华人民共和国网络安全法》

相关推荐
宝山哥哥1 小时前
网络信息安全学习笔记1----------网络信息安全概述
网络·笔记·学习·安全·网络安全
AmosTian1 小时前
【系统与工具】Linux——Linux简介、安装、简单使用
linux·运维·服务器
这我可不懂4 小时前
Python 项目快速部署到 Linux 服务器基础教程
linux·服务器·python
车车不吃香菇4 小时前
java idea 本地debug linux服务
java·linux·intellij-idea
tan77º5 小时前
【Linux网络编程】Socket - TCP
linux·网络·c++·tcp/ip
kfepiza5 小时前
Linux的`if test`和`if [ ]中括号`的取反语法比较 笔记250709
linux·服务器·笔记·bash
CodeWithMe6 小时前
【Note】《深入理解Linux内核》 第十九章:深入理解 Linux 进程通信机制
linux·运维·php
vvw&7 小时前
Linux 中的 .bashrc 是什么?配置详解
linux·运维·服务器·chrome·后端·ubuntu·centos
tao3556678 小时前
树莓派免密登录(vs code/cursor)
linux·嵌入式硬件·ssh
是阿建吖!8 小时前
【Linux | 网络】socket编程 - 使用UDP实现服务端向客户端提供简单的服务
linux·网络·udp