從嚴重的HeartBleed漏洞到蘋果的gotofail 漏洞,再到最近的SSL v3 Poodle漏洞……我們已經見識到了網絡流量漏洞所帶來的巨大災難。於是「谷人希」來了!谷歌公司最新開發了一款工具——Nogotofail,它可以幫助開發者檢測網絡流量類的安全漏洞。
讓所有聯網設備免受TLS和SSL加密漏洞的攻擊
安卓安全工程師Chad Brubaker稱,開發Nogotofail的最終目的就是讓所有聯網設備和應用程式免受TLS和SSL加密漏洞的攻擊。
Nogotofail的檢測內容包括通用SSL證書驗證問題、HTTPS和SSL/TLS庫漏洞和錯誤配置問題、SSL和STARTTLS脫離(stripping)問題、明文流量問題等。
Brubaker在他的博客中寫到:
谷歌正在致力於讓所有應用程式和伺服器都使用TLS/SSL,但是HTTPS還沒有辦法普及。同時,HTTPS還需要被正確的使用。比如現在許多的平臺和設備都有安全默認值,但是當應用程式變得更複雜,連接到了更多的伺服器,使用了更多的第三方庫……很容易就出現安全問題。
Nogotofail是由安卓工程師Chad Brubaker、Alex Klyubin 和 Geremy Condra共同開發的,可用於Android、iOS、Linux、Windows、Chrome OS、OSX以及任何聯網設備上。
Google公司同時表示,Nogotofail這款工具已經在Google內部使用好一段時間了……
下載地址
Nogotofail需要Python 2.7和pyOpenSSL 0.13以上版本。該項工具目前已經在Gitub上架,所有人都可以使用它,同時也希望大家多多的提供建議和補充完善,讓網際網路變得更安全。
https://github.com/google/nogotofail
[參考信息:http://thehackernews.com,轉載請註明來自Freebuf.COM]