使用弱密码连接Java HttpURLConnection

Question

我正在使用Java中的漏洞扫描程序来检查允许使用弱密码套件进行连接的网站。例如，我会尝试使用56位“SSL_DHE_RSA_WITH_DES_CBC_SHA”（或其他弱密码）进行连接，如果我说200 OK，则该网站很脆弱。这是我到目前为止的地方：

1- HttpURLConnection始终使用默认密码，但如果我尝试使用“System.setProperty（）设置弱密码，我会得到”密码不支持异常（对于大多数密码套件）或“连接被拒绝”异常，当我尝试connect（）时。我知道连接被拒绝是我对不接受弱密码的网站的回答，但是如何获得实际的http响应头（带有拒绝代码）而不是异常？我实际上对找到SSL级别（第6层）上的漏洞不感兴趣，而是在HTTP级别（第7层）找到漏洞，并且我知道http标头在某些情况下可能具有欺骗性，但我确定这一点。

总之，我需要这样的事情只有弱密码套件的工作：

 URL url = new URL(ip); 
     HttpsURLConnection con = (HttpsURLConnection) url.openConnection(); 
     con.setHostnameVerifier(new HostnameVerifier() { 
      public boolean verify(String hostname, SSLSession session) { 
       return true; 
      } 
     }); 
     con.connect(); 
     System.out.println("Response Code : " + con.getResponseCode()); 

Answer 1

我怎么实际的HTTP效应初探 头部（拒收代码），而不是异常的 ？

你不知道。 SSL连接没有形成，因此没有任何HTTP头可以被传输。你得到的是SSLException。

我其实在 不感兴趣的SSL级别 （6层）上，而在HTTP水平

这种说法没有任何意义发现漏洞。该漏洞存在于SSL级别。有是在SSL连接完成之前，没有HTTP（s）级连接，而是失败。