reference to : http://www.freebuf.com/tools/50324.html
从严重的HeartBleed漏洞到苹果的gotofail 漏洞,再到最近的SSL v3 Poodle漏洞……我们已经见识到了网络流量漏洞所带来的巨大灾难。于是“谷人希”来了!谷歌公司最新开发了一款工具——Nogotofail,它可以帮助开发者检测网络流量类的安全漏洞。
让所有联网设备免受TLS和SSL加密漏洞的攻击
安卓安全工程师Chad Brubaker称,开发Nogotofail的最终目的就是让所有联网设备和应用程序免受TLS和SSL加密漏洞的攻击。
Nogotofail的检测内容包括通用SSL证书验证问题、HTTPS和SSL/TLS库漏洞和错误配置问题、SSL和STARTTLS脱离(stripping)问题、明文流量问题等。
Brubaker在他的博客中写到:
谷歌正在致力于让所有应用程序和服务器都使用TLS/SSL,但是HTTPS还没有办法普及。同时,HTTPS还需要被正确的使用。比如现在许多的平台和设备都有安全默认值,但是当应用程序变得更复杂,连接到了更多的服务器,使用了更多的第三方库……很容易就出现安全问题。
Nogotofail是由安卓工程师Chad Brubaker、Alex Klyubin 和 Geremy Condra共同开发的,可用于Android、iOS、Linux、Windows、Chrome OS、OSX以及任何联网设备上。
Google公司同时表示,Nogotofail这款工具已经在Google内部使用好一段时间了……
下载地址
Nogotofail需要Python 2.7和pyOpenSSL 0.13以上版本。该项工具目前已经在Gitub上架,所有人都可以使用它,同时也希望大家多多的提供建议和补充完善,让互联网变得更安全。