添加链接 注册    登录
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
完美的海龟  ·  DataGrip 连接sqlserver ...·  昨天    · 
眉毛粗的书签  ·  NIPS2023 | Towards ...·  1 周前    · 
痛苦的双杠  ·  SSL 转发代理功能入门 | ...·  1 周前    · 
腼腆的小刀  ·  什么是 SSL 私钥? - SSL 龙·  1 周前    · 
逼格高的凉面  ·  使用OpenSSL从PKCS#12文件导出证 ...·  1 周前    · 
想旅行的大蒜  ·  StellarGraph API — ...·  4 周前    · 
细心的乒乓球  ·  银川市市场监督管理局2021年度工作总结暨2 ...·  2 月前    · 
坐怀不乱的鸡蛋  ·  为什么说刘姥姥才是《红楼梦》里的情商天花板? ...·  3 月前    · 
安静的棒棒糖  ·  Linux学习笔记:ls和ll命令 - ...·  5 月前    · 
礼貌的金鱼  ·  java - Custom ...·  9 月前    · 
link管理  ›  2021-02-01-ssl协议版本及密码修复_远程主机支持在一个或多个密码套件中使用 64 位块的块密码。由于使用弱 64 位块密
漏洞 网络安全 https ssl
https://blog.csdn.net/weixin_43639682/article/details/123628818
仗义的刺猬
2 周前

layout: post
title: “ssl协议版本及密码修复”
categories: [网络安全CyberSecurity]

1.[ssl扫描网站](<https://www.ssllabs.com/ssltest/)

< https://www.ssllabs.com/ssltest/

2.禁用TLS1.0和TLS1.1

原始 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 改为
SSLProtocol -all +TLSv1.2 //仅开启TLS1.2版本

3.修复SSL64位块大小加密套件支持

密码套件中使用了具体64位块的分组密码,改为最低128位,禁用64位
扫描方法
下载安装 nmap ,win下载地址:<https://nmap.org/下载安装

nmap -p 443 --script ssl-enum-ciphers 10.21.8.22
显示warnings
64-bit

修复方法:
修改 <httpd-ssl.conf 文件
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES
改为
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

重启apache
再次扫描发现
没有warnings提示即可

SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)漏洞: TLS, SSH, IPSec协商及其他产品 使用 的DES及Triple DES 密码 存在大约四十亿 的生日界,这可使 远程 攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组 密码 算法的攻击,它 使用 64 位的 大小,缓解SWEET32攻击Open SSL 1.0.1和Open SSL 1.0.2 基于DES 密码 套件 从“高” 密码 字符串组移至“ ”;但Op 找到 SSL 密码 组配置,Apache 为: SSL CipherSuite、Nginx 为: ssl _ciphers。找到 ssl 配置文件 > 禁用RC4 密码 组 > 重启服务 > 检查是否禁用成功 > 完成。如果可能,请重新配置受影响的应用程序以避免 使用 RC4 密码 。RC4 密码 在伪随机字节流的生成 存在缺陷,导致引入了各种各样的小偏差,降低了其随机。攻击者可利用大量的 文推测明文,导致 远程 主机 信息泄露。RC4,如果不存在,新增即可。如果配置 存在:RC4 密码 组,如图。该攻击者可能会推测出明文。 使用 Windows自带的FIPS代替 SSL 1)启用FIPS 操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加 :将FIPS兼容算法用于加 、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。 2)禁用 SSL 密码 套件 操作步骤:按下’ Win + R’,进入"运行",键入" 测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名 体现,手动设置1.2并排除DES-CBC3-SHA加 算法 套件 ,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。 wampserver3.13 apache2.4 php5.6 mysql5.7 1、修改配置文件:conf/httpd.conf和conf/extra/httpd- ssl .conf 在httpd.conf a. 删掉以下语句前的’#’ #LoadModule ssl _module modules/mod_ ssl .so #Include conf/extra/htt... SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)/ SSL /TLS RC4 信息泄露漏洞(CVE-2 01 3-2566)/ SSL /TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2 01 5-2808) 这几个漏洞都指向 ssl ,服务器为win2 01 2 r2 standard 一、漏洞说明 Windows server 2 01 2R2 远程 桌面服务 SSL 默认是开启的,且有默认的CA证书。由于 SSL / TLS自身存在漏洞缺陷,当开启 远程 桌面服务, 使用 漏洞扫描工具扫描,发现存在 SSL /TSL漏洞。远 部署程序在客户机房,被客户扫描出 一个 漏洞,漏洞如下: SSL /TLS 协议 一个 被广泛 使用 的加 协议 ,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法 一个 缺陷,它能够在某些情况下泄露 SSL /TLS加 流量 文,从而将账户用户名 具有足够资源的 间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定 密码 与已知纯文本之间泄露 XOR 的冲突,进而泄露 密码 文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。虽然目前可以在不启用renegotiation进程的情况下 使用 HTTPS,但很多服务器的默认设置均启用了renegotiation功能。 1. weblogic禁用 SSL v3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的 版本 在其后追加: -Djava.net.prefe...
 
推荐文章
完美的海龟  ·  DataGrip 连接sqlserver sun.security.provider.certpath.SunCertPathBuilderException: unable to find vali
昨天
眉毛粗的书签  ·  NIPS2023 | Towards Generic Semi-Supervised Framework for Volumetric Medical Image Segmentation - 技术分
1 周前
痛苦的双杠  ·  SSL 转发代理功能入门 | NetScaler 14.1
1 周前
腼腆的小刀  ·  什么是 SSL 私钥? - SSL 龙
1 周前
逼格高的凉面  ·  使用OpenSSL从PKCS#12文件导出证书和私钥-SSL.com
1 周前
想旅行的大蒜  ·  StellarGraph API — StellarGraph 1.2.0 documentation
4 周前
细心的乒乓球  ·  银川市市场监督管理局2021年度工作总结暨2022年重点工作计划-银川市人民政府门户网站
2 月前
坐怀不乱的鸡蛋  ·  为什么说刘姥姥才是《红楼梦》里的情商天花板?_文化频道_中华网
3 月前
安静的棒棒糖  ·  Linux学习笔记:ls和ll命令 - Hider1214 - 博客园
5 月前
礼貌的金鱼  ·  java - Custom RestTemplate using requestFactory of RestTemplateBuilder in SpringBoot 2.1.x is not ba
9 月前
Link管理   ·   51好读   ·   Sov5搜索   ·   小百科
link管理 - 链接快照平台