scanner-sslyze Docker 镜像下载 - 轩辕镜像

OWASP secureCodeBox 简介

OWASP secureCodeBox 是一个自动化、可扩展的开源解决方案，用于通过简单轻量的界面集成多种安全漏洞扫描器。其使命是支持DevSecOps团队轻松实现不同场景下的安全漏洞测试自动化。该工具链可用于持续扫描应用，在开发过程早期发现低风险问题，从而让渗透测试人员专注于重大安全问题。

secureCodeBox 运行在Kubernetes上，安装需使用Kubernetes包管理器Helm，也可基于Docker基础设施启动集成的安全漏洞扫描器。入门资源（包括安装和首次扫描指南）可参考官方文档网站。

支持的标签

• latest（最新稳定版本构建）
• 带标签的版本，如 3.0.0、2.9.0、2.8.0、2.7.0

如何使用此镜像

此scanner镜像需与对应的parser镜像配合使用，以将扫描结果解析为通用的secureCodeBox格式。更多详情请查看项目文档或扫描器文档。

docker pull securecodebox/scanner-sslyze

Docker部署示例

运行基本的SSL配置扫描（基于Mozilla中间配置标准）：

docker run --rm securecodebox/scanner-sslyze --mozilla_config=intermediate [***]

什么是SSLyze

SSLyze 是一个Python库和CLI工具，通过连接服务器分析其SSL配置。它设计为快速且全面，帮助组织和测试人员识别影响SSL/TLS服务器的错误配置。更多信息可查看SSLyze GitHub。

扫描器配置

以下配置示例基于SSLyze文档，完整配置选项请参考原文档。

基本用法

命令行界面可轻松运行服务器扫描：

sslyze --mozilla_config=intermediate [***]

命令行选项

Usage: python -m sslyze [options] target1.com target2.com:443 target3.com:443{ip} etc...

Options:
  -h, --help            显示帮助信息并退出
  --mozilla_config {modern,intermediate,old}
                        快速选择扫描命令，检查服务器TLS配置是否符合Mozilla推荐标准，默认值为"intermediate"

信任存储选项:
  --update_trust_stores  更新SSLyze使用的默认信任存储，从GitHub下载最新存储

客户端证书选项:
  --cert CERTIFICATE_FILE  客户端证书链文件（PEM格式）
  --key KEY_FILE           客户端私钥文件
  --keyform KEY_FORMAT     客户端私钥格式（DER或PEM，默认PEM）
  --pass PASSPHRASE        客户端私钥密码

输入输出选项:
  --json_out JSON_FILE     将扫描结果以JSON格式写入文件，设为'-'则输出到stdout
  --targets_in TARGET_FILE  从文件读取目标列表（每行一个host:port）
  --quiet                  不输出到stdout（配合--json_out使用）

连接选项:
  --slow_connection        减少并发连接数，适用于慢连接或服务器负载能力有限的情况
  --https_tunnel PROXY_SETTINGS  通过HTTP CONNECT代理隧道传输流量（格式：'[***]
  --starttls PROTOCOL      执行StartTLS握手（支持auto, smtp, xmpp, pop3等协议）
  --sni SERVER_NAME_INDICATION  使用SNI指定连接的主机名（影响TLS 1.0+连接）

扫描命令:
  --tlsv1_1, --tlsv1_2, --tlsv1_3  测试服务器对TLS 1.1/1.2/1.3的支持
  --robot                  测试ROBOT漏洞
  --reneg                  测试不安全的TLS重协商和客户端发起的重协商
  --early_data             测试TLS 1.3早期数据支持
  --fallback               测试TLS_FALLBACK_SCSV降级攻击防护
  --certinfo               获取并分析服务器证书有效性
  --heartbleed             测试Heartbleed漏洞
  --resum                  测试会话恢复支持（会话ID和TLS票据）
  --http_headers           测试安全相关HTTP头的存在性
  --sslv2, --sslv3         测试SSL 2.0/3.0支持
  --compression            测试TLS压缩支持（可能导致CRIME攻击）
  --openssl_ccs            测试OpenSSL CCS注入漏洞（CVE-2014-0224）
  --elliptic_curves        测试支持的椭圆曲线

社区

欢迎通过以下渠道加入我们：

• GitHub
• OWASP Slack（#project-securecodebox频道）
• ***

secureCodeBox是官方OWASP项目。

许可证

![License]([***]

与所有Docker镜像一样，本镜像可能包含其他软件，这些软件可能采用其他许可证（如基础发行版中的Bash等，以及主要软件的直接或间接依赖）。使用本镜像时，用户有责任确保符合其中所有软件的相关许可证要求。