添加链接
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接

layout: post
title: “ssl协议版本及密码修复”
categories: [网络安全CyberSecurity]

1.[ssl扫描网站](<https://www.ssllabs.com/ssltest/)

< https://www.ssllabs.com/ssltest/

2.禁用TLS1.0和TLS1.1

原始 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 改为
SSLProtocol -all +TLSv1.2 //仅开启TLS1.2版本

3.修复SSL64位块大小加密套件支持

密码套件中使用了具体64位块的分组密码,改为最低128位,禁用64位
扫描方法
下载安装 nmap ,win下载地址:<https://nmap.org/下载安装

nmap -p 443 --script ssl-enum-ciphers 10.21.8.22
显示warnings
64-bit

修复方法:
修改 <httpd-ssl.conf 文件
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES
改为
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

重启apache
再次扫描发现
没有warnings提示即可

SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)漏洞: TLS, SSH, IPSec协商及其他产品 使用 的DES及Triple DES 密码 存在大约四十亿 的生日界,这可使 远程 攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组 密码 算法的攻击,它 使用 64 位的 大小,缓解SWEET32攻击Open SSL 1.0.1和Open SSL 1.0.2 基于DES 密码 套件 从“高” 密码 字符串组移至“ ”;但Op 找到 SSL 密码 组配置,Apache 为: SSL CipherSuite、Nginx 为: ssl _ciphers。找到 ssl 配置文件 > 禁用RC4 密码 组 > 重启服务 > 检查是否禁用成功 > 完成。如果可能,请重新配置受影响的应用程序以避免 使用 RC4 密码 。RC4 密码 在伪随机字节流的生成 存在缺陷,导致引入了各种各样的小偏差,降低了其随机。攻击者可利用大量的 文推测明文,导致 远程 主机 信息泄露。RC4,如果不存在,新增即可。如果配置 存在:RC4 密码 组,如图。该攻击者可能会推测出明文。 使用 Windows自带的FIPS代替 SSL 1)启用FIPS 操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加 :将FIPS兼容算法用于加 、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。 2)禁用 SSL 密码 套件 操作步骤:按下’ Win + R’,进入"运行",键入" 测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名 体现,手动设置1.2并排除DES-CBC3-SHA加 算法 套件 ,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。 wampserver3.13 apache2.4 php5.6 mysql5.7 1、修改配置文件:conf/httpd.conf和conf/extra/httpd- ssl .conf 在httpd.conf a. 删掉以下语句前的’#’ #LoadModule ssl _module modules/mod_ ssl .so #Include conf/extra/htt... SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)/ SSL /TLS RC4 信息泄露漏洞(CVE-2 01 3-2566)/ SSL /TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2 01 5-2808) 这几个漏洞都指向 ssl ,服务器为win2 01 2 r2 standard 一、漏洞说明 Windows server 2 01 2R2 远程 桌面服务 SSL 默认是开启的,且有默认的CA证书。由于 SSL / TLS自身存在漏洞缺陷,当开启 远程 桌面服务, 使用 漏洞扫描工具扫描,发现存在 SSL /TSL漏洞。远 部署程序在客户机房,被客户扫描出 一个 漏洞,漏洞如下: SSL /TLS 协议 一个 被广泛 使用 的加 协议 ,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法 一个 缺陷,它能够在某些情况下泄露 SSL /TLS加 流量 文,从而将账户用户名 具有足够资源的 间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定 密码 与已知纯文本之间泄露 XOR 的冲突,进而泄露 密码 文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。虽然目前可以在不启用renegotiation进程的情况下 使用 HTTPS,但很多服务器的默认设置均启用了renegotiation功能。 1. weblogic禁用 SSL v3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的 版本 在其后追加: -Djava.net.prefe...