[Android Pro] 網絡流量安全測試工具Nogotofail

reference to : http://www.freebuf.com/tools/50324.html

從嚴重的HeartBleed漏洞到蘋果的gotofail 漏洞，再到最近的SSL v3 Poodle漏洞……咱們已經見識到了網絡流量漏洞所帶來的巨大災難。因而「穀人希」來了！谷歌公司最新開發了一款工具——Nogotofail，它能夠幫助開發者檢測網絡流量類的安全漏洞。

讓全部聯網設備免受TLS和SSL加密漏洞的攻擊

安卓安全工程師Chad Brubaker稱，開發Nogotofail的最終目的就是讓全部聯網設備和應用程序免受TLS和SSL加密漏洞的攻擊。

Nogotofail的檢測內容包括通用SSL證書驗證問題、HTTPS和SSL/TLS庫漏洞和錯誤配置問題、SSL和STARTTLS脫離（stripping）問題、明文流量問題等。

Brubaker在他的博客中寫到：

谷歌正在致力於讓全部應用程序和服務器都使用TLS/SSL，可是HTTPS尚未辦法普及。同時，HTTPS還須要被正確的使用。好比如今許多的平臺和設備都有安全默認值，可是當應用程序變得更復雜，鏈接到了更多的服務器，使用了更多的第三方庫……很容易就出現安全問題。

Nogotofail是由安卓工程師Chad Brubaker、Alex Klyubin 和 Geremy Condra共同開發的，可用於Android、iOS、Linux、Windows、Chrome OS、OSX以及任何聯網設備上。

Google公司同時表示，Nogotofail這款工具已經在Google內部使用好一段時間了……

下載地址

Nogotofail須要Python 2.7和pyOpenSSL 0.13以上版本。該項工具目前已經在Gitub上架，全部人均可以使用它，同時也但願你們多多的提供建議和補充完善，讓互聯網變得更安全。

https://github.com/google/nogotofail