使用弱密碼連接Java HttpURLConnection

Question

我正在使用Java中的漏洞掃描程序來檢查允許使用弱密碼套件進行連接的網站。例如，我會嘗試使用56位「SSL_DHE_RSA_WITH_DES_CBC_SHA」（或其他弱密碼）進行連接，如果我說200 OK，則該網站很脆弱。這是我到目前爲止的地方：

1- HttpURLConnection始終使用默認密碼，但如果我嘗試使用「System.setProperty（）設置弱密碼，我會得到」密碼不支持異常（對於大多數密碼套件）或「連接被拒絕」異常，當我嘗試connect（）時。我知道連接被拒絕是我對不接受弱密碼的網站的回答，但是如何獲得實際的http響應頭（帶有拒絕代碼）而不是異常？我實際上對找到SSL級別（第6層）上的漏洞不感興趣，而是在HTTP級別（第7層）找到漏洞，並且我知道http標頭在某些情況下可能具有欺騙性，但我確定這一點。

總之，我需要這樣的事情只有弱密碼套件的工作：

 URL url = new URL(ip); 
     HttpsURLConnection con = (HttpsURLConnection) url.openConnection(); 
     con.setHostnameVerifier(new HostnameVerifier() { 
      public boolean verify(String hostname, SSLSession session) { 
       return true; 
      } 
     }); 
     con.connect(); 
     System.out.println("Response Code : " + con.getResponseCode()); 

Answer 1

我怎麼實際的HTTP效應初探 頭部（拒收代碼），而不是異常的 ？

你不知道。 SSL連接沒有形成，因此沒有任何HTTP頭可以被傳輸。你得到的是SSLException。

我其實在 不感興趣的SSL級別 （6層）上，而在HTTP水平

這種說法沒有任何意義發現漏洞。該漏洞存在於SSL級別。有是在SSL連接完成之前，沒有HTTP（s）級連接，而是失敗。