国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

SSL/TLS類漏洞驗證與修復(fù)

1年前作者:0810133分類:Toy博客閱讀(23)違法舉報

這篇具有很好參考價值的文章主要介紹了SSL/TLS類漏洞驗證與修復(fù)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

近期工作中總會遇到一些關(guān)于SSL/TLS類的漏洞被掃描工具掃除來,就翻閱網(wǎng)絡(luò)上關(guān)于這類漏洞的成因與驗證方法做一些總結(jié),便于日后翻閱。

掃描的漏洞類似這樣:

  • SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】?
  • SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理掃描】

本文主要參考自:https://www.cnblogs.com/nul1/p/11233607.html

什么是TLS和SSL?

安全套接層(SSL)和傳輸層安全(TLS)加密用于通過互聯(lián)網(wǎng)提供通信安全(傳輸加密)和來保護(hù)網(wǎng)絡(luò)流量和互聯(lián)網(wǎng)上的隱私,用于諸如網(wǎng)絡(luò),電子郵件,即時消息(IM)和一些虛擬專用網(wǎng)絡(luò)(VPN)。

因此,TLS安全配置很重要,應(yīng)花時間學(xué)習(xí)如何識別常見的漏洞和安全配置錯誤。

TLS / SSL安全測試工具

測試要用到一個強(qiáng)大的工具?testssl.sh?它涵蓋了TLS和SSL評估所需的所有測試所需工具

您可以通過執(zhí)行其git clone來安裝最新版本的tesetssl.sh:

git clone https://github.com/drwetter/testssl.sh.git

tls 協(xié)議漏洞檢測,ssl,網(wǎng)絡(luò)協(xié)議,網(wǎng)絡(luò)

?./test.sh 幫助信息

測試單個主機(jī)上的所有內(nèi)容并輸出到控制臺
./testssl.sh -e -E -f -p  -S -P -c -H -U TARGET-HOST

測試單個主機(jī)上的所有內(nèi)容并輸出到HTML

./testssl.sh -e -E -f -p  -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html

漏洞詳情與回顧

?SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理掃描】
詳細(xì)描述 安全套接層(Secure Sockets Layer,SSL),一種安全協(xié)議,是網(wǎng)景公司(Netscape)在推出Web瀏覽器首版的同時提出的,目的是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。傳輸層安全(Transport Layer Security),IETF對SSL協(xié)議標(biāo)準(zhǔn)化(RFC 2246)后的產(chǎn)物,與SSL 3.0差異很小。

SSL/TLS內(nèi)使用的RC4算法存在單字節(jié)偏差安全漏洞,可允許遠(yuǎn)程攻擊者通過分析統(tǒng)計使用的大量相同的明文會話,利用此漏洞恢復(fù)純文本信息。
解決辦法 建議:避免使用RC4算法

1、禁止apache服務(wù)器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務(wù)
2、關(guān)于lighttpd加密算法?
在配置文件lighttpd.conf中禁用RC4算法,例如:?
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"?
重啟lighttpd 服務(wù)。

3、Windows系統(tǒng)建議參考官網(wǎng)鏈接修復(fù):
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4
?SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】
詳細(xì)描述 SSL/TLS協(xié)議是一個被廣泛使用的加密協(xié)議,Bar Mitzvah攻擊實際上是利用了"不變性漏洞",這是RC4算法中的一個缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文,從而將賬戶用戶名密碼,信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。
解決辦法 臨時解決方法:

SSL/TLS
--------
1、禁止apache服務(wù)器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務(wù)
2、關(guān)于nginx加密算法
1.0.5及以后版本,默認(rèn)SSL密碼算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本,默認(rèn)SSL密碼算法是HIGH:!ADH:!MD5
0.8.19版本,默認(rèn)SSL密碼算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本,默認(rèn)SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或沒注釋的可以直接修改域名下ssl相關(guān)配置為
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
需要nginx重新加載服務(wù)

3、關(guān)于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法,例如:
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

重啟lighttpd 服務(wù)。

4、tomcat參考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

5、瀏覽器手工屏蔽方案
Windows 用戶:
1)完全關(guān)閉 Chrome 瀏覽器和Mozilla Firefox瀏覽器
2)復(fù)制一個平時打開 Chrome 瀏覽器(Mozilla Firefox瀏覽器)的快捷方式
3)在新的快捷方式上右鍵點擊,進(jìn)入屬性
4)在「目標(biāo)」后面的空格中字段的末尾輸入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Mac OS X 用戶:
1)完全關(guān)閉 Chrome 瀏覽器
2)找到本機(jī)自帶的終端(Terminal)
3)輸入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Linux 用戶:
1)完全關(guān)閉 Chrome 瀏覽器

RC4 CVE-2013-2566

TLS協(xié)議和SSL協(xié)議中使用的RC4算法具有許多單字節(jié)偏移。遠(yuǎn)程攻擊者可以通過使用相同明文的大量會話中的密文統(tǒng)計分析來進(jìn)行明文破解攻擊。

自動RC4測試
testssl.sh RC4測試
./testssl.sh -4 目標(biāo)

手動RC4測試

使用./testssl.sh -E TARGET手動枚舉服務(wù)器密碼或者nmap -p 443 --script=ssl-enum-ciphers TARGET確保服務(wù)器支持密碼類型不使用RC4。

TLS和SSL證書

對沒有加密的服務(wù)器證書應(yīng)該被評估為配置錯誤和弱加密簽名,下面是證書檢查的項目列表:

使用以下方式獲取目標(biāo)服務(wù)器證書:

openssl s_client -connect TARGET:443 | openssl x509 -noout -text

證書檢查項目表

名稱 描述
識別證書頒發(fā)者 確保證書頒發(fā)機(jī)構(gòu)(CA)來自受信任的來源,不使用自簽名證書,因為自簽名證書允許中間人員攻擊(除非是內(nèi)部的,并且與內(nèi)部CA簽名)。
簽名算法 用于確保證書完整性的算法,您應(yīng)該確保密碼是安全的,而不是使用MD5(已知不安全)或SHA1。
公鑰 關(guān)鍵長度應(yīng)該足夠長以確保它不能被破解,最小值應(yīng)該是2048位。
Not Before 證書開始日期。
Not After 證書結(jié)束日期。
Subject&Subject Alternative Name Subject應(yīng)該列出證書所涉及的DNS名稱,如果這是不正確的瀏覽器會引發(fā)錯誤。Subject Alternative Name應(yīng)列出通配符證書的DNS名稱,應(yīng)列出此證書的所有DNS名稱。

原文地址:SSL/TLS類漏洞驗證與修復(fù) - 香農(nóng)Shannon - 博客園 (cnblogs.com)文章來源地址http://www.zghlxwxcb.cn/news/detail-857381.html

到了這里,關(guān)于SSL/TLS類漏洞驗證與修復(fù)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • Windows Server 遠(yuǎn)程桌面 SSL/TLS 漏洞修復(fù)

    Windows Server 遠(yuǎn)程桌面 SSL/TLS 漏洞修復(fù)

    ?Windows Server 遠(yuǎn)程桌面服務(wù) SSL 加密默認(rèn)是開啟的,且有默認(rèn)的 CA 證書。由于 SSL/TLS 本身存在漏洞,在開啟遠(yuǎn)程桌面服務(wù)時,安全檢測機(jī)構(gòu)會報存在 SSL/TLS 漏洞。 ? ? 修復(fù)過程如下: 1、運(yùn)行“gpedit.msc”,打開“本地組策略編輯器”。 2、“計算機(jī)配置” → “管理模板” →

    2024年02月11日
    瀏覽(32)
  • 解決漏洞:SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)

    解決漏洞:SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)

    錯誤詳情: 解決方案 ?win2012R2解決辦法 參考鏈接:Browse code samples | Microsoft Learn 下載該ps1的文件。 下載該ps1的文件。 首先運(yùn)行PowerShell后去文件夾中運(yùn)行,或者直接輸入 D:Solve-Sweet32.ps1 即可 參考鏈接? SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)解決辦法(WindowsServer2012r2 3389端口 )

    2024年02月12日
    瀏覽(24)
  • Windows Server 2008或2012 修復(fù)CVE-2016-2183(SSL/TLS)漏洞的方法

    Windows Server 2008或2012 修復(fù)CVE-2016-2183(SSL/TLS)漏洞的方法

    Windows server 2008或2012遠(yuǎn)程桌面服務(wù)SSL加密默認(rèn)是開啟的,且有默認(rèn)的CA證書。由于SSL/ TLS自身存在漏洞缺陷,當(dāng)開啟遠(yuǎn)程桌面服務(wù),使用漏洞掃描工具掃描,發(fā)現(xiàn)存在SSL/TSL漏洞。 例如如下漏洞: 1、登錄服務(wù)器,打開windows powershell,運(yùn)行g(shù)pedit.msc,打開“本地組策略編輯器”。

    2024年02月12日
    瀏覽(23)
  • SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理掃描】修復(fù)方案

    SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理掃描】修復(fù)方案

    SSL/TLS協(xié)議 RC4信息泄露漏洞被掃描出來,一般出現(xiàn)的問題在ssh和https服務(wù)上使用了RC4算法,修改配置文件就可以了 1.使用nmap掃描出來: nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用綠盟掃描 掃描出來顯示CVE-2013-2566 apache: 1.禁止apache服務(wù)器使用RC4加密算法 2.重啟apache服務(wù) Nginx: 1.禁

    2024年02月16日
    瀏覽(30)
  • SSL/TLS 協(xié)議信息泄露漏洞(CVE-2016-2183)【原理掃描】

    SSL/TLS 協(xié)議信息泄露漏洞(CVE-2016-2183)【原理掃描】

    SSL/TLS協(xié)議 RC4信息泄露漏洞被掃描出來,一般出現(xiàn)的問題在ssh和https服務(wù)上使用了DES、3DES算法,禁用這些算法就好了 1.使用nmap掃描出來: nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用綠盟掃描 顯示CVE-2016-2183漏洞 apache: 1.禁止apache服務(wù)器使用RC4加密算法 2.重啟apache服務(wù) Nginx: 1.禁止

    2024年02月09日
    瀏覽(37)
  • SSL密鑰算法檢測工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞

    SSL密鑰算法檢測工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞

    SSL密鑰算法檢測工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞 下載:https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip 運(yùn)行:CMD-cd到下載包目錄下 運(yùn)行命令 檢測到支持的不安全的模塊 漏洞描述 該漏洞通過RC4的不變性弱密鑰,允許攻擊者在特地情

    2024年02月15日
    瀏覽(23)

  • 關(guān)于網(wǎng)絡(luò)通信安全協(xié)議的一些知識(ssl,tls,CA,https)

    首先了解一下http協(xié)議的變遷。 http1.0默認(rèn)短連接,1.1默認(rèn)長連接并且可以管道傳輸,但是存在隊頭阻塞問題; https就是在tcp和http之間加了SSL/TLS層。 http2也是安全的,改進(jìn)是hpack二進(jìn)制和編碼壓縮減小體積,stream沒有隊頭阻塞了(TCP層還有),以及服務(wù)器主動推送功能; http

    2024年02月15日
    瀏覽(34)
  • 常見網(wǎng)絡(luò)通信協(xié)議(http、https、ws)及安全協(xié)議(SSL、TLS、XTLS)

    常見網(wǎng)絡(luò)通信協(xié)議(http、https、ws)及安全協(xié)議(SSL、TLS、XTLS)

    文章內(nèi)容刪除了一大半不合適的內(nèi)容,發(fā)不出來,你懂得。?? HTTP和HTTPS都屬于 應(yīng)用層協(xié)議 ,它們都是用于從萬維網(wǎng)(WWW)服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。它們都是 基于 TCP/IP 協(xié)議 來傳遞數(shù)據(jù)的,支持 客戶端-服務(wù)器模式 的通信。 HTTP和HTTPS的區(qū)別主要在于HTT

    2024年02月10日
    瀏覽(39)
  • SSL協(xié)議是什么?關(guān)于SSL和TLS的常見問題解答,被面試官問的網(wǎng)絡(luò)安全問題難倒了

    SSL協(xié)議是什么?關(guān)于SSL和TLS的常見問題解答,被面試官問的網(wǎng)絡(luò)安全問題難倒了

    先自我介紹一下,小編浙江大學(xué)畢業(yè),去過華為、字節(jié)跳動等大廠,目前阿里P7 深知大多數(shù)程序員,想要提升技能,往往是自己摸索成長,但自己不成體系的自學(xué)效果低效又漫長,而且極易碰到天花板技術(shù)停滯不前! 因此收集整理了一份《2024年最新網(wǎng)絡(luò)安全全套學(xué)習(xí)資料》

    2024年04月22日
    瀏覽(32)

  • SSL/TLS協(xié)議

    SSL 與 TLS — 通信協(xié)議之間的區(qū)別 — AWS 【ssl認(rèn)證、證書】SSL雙向認(rèn)證和SSL單向認(rèn)證的區(qū)別(示意圖)_ssl單向認(rèn)證和雙向認(rèn)證的區(qū)別-CSDN博客 什么是SSL和TLS-SSL和TSL的工作原理-SSL和TSL的概念-華為云 獲取 SSL/TLS 證書 | EMQX 文檔

    2024年04月12日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包