添加链接 注册    登录
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
玩足球的斑马  ·  【AIO】使用ORACLE数据库存储过程发送 ...·  2 周前    · 
焦虑的柑橘  ·  使用 Certbot 为 Nginx ...·  4 天前    · 
温柔的鞭炮  ·  战锤40k 白色疤痕原体 ...·  3 月前    · 
瘦瘦的绿茶  ·  在Hologres中创建表和索引_实时数仓 ...·  5 月前    · 
玩足球的柠檬  ·  2024年全网最全的BT种子搜索器|BT磁力 ...·  7 月前    · 
近视的镜子  ·  黑沼泽俱乐部·  8 月前    · 
爱运动的上铺  ·  上海人今年坐高铁就能玩遍全国啦! - ...·  1 年前    · 
link管理  ›  2021-02-01-ssl协议版本及密码修复_远程主机支持在一个或多个密码套件中使用 64 位块的块密码。由于使用弱 64 位块密
漏洞 网络安全 https ssl
https://blog.csdn.net/weixin_43639682/article/details/123628818
仗义的刺猬
2 月前

layout: post
title: “ssl协议版本及密码修复”
categories: [网络安全CyberSecurity]

1.[ssl扫描网站](<https://www.ssllabs.com/ssltest/)

< https://www.ssllabs.com/ssltest/

2.禁用TLS1.0和TLS1.1

原始 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 改为
SSLProtocol -all +TLSv1.2 //仅开启TLS1.2版本

3.修复SSL64位块大小加密套件支持

密码套件中使用了具体64位块的分组密码,改为最低128位,禁用64位
扫描方法
下载安装 nmap ,win下载地址:<https://nmap.org/下载安装

nmap -p 443 --script ssl-enum-ciphers 10.21.8.22
显示warnings
64-bit

修复方法:
修改 <httpd-ssl.conf 文件
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES
改为
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

重启apache
再次扫描发现
没有warnings提示即可

SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)漏洞: TLS, SSH, IPSec协商及其他产品 使用 的DES及Triple DES 密码 存在大约四十亿 的生日界,这可使 远程 攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组 密码 算法的攻击,它 使用 64 位的 大小,缓解SWEET32攻击Open SSL 1.0.1和Open SSL 1.0.2 基于DES 密码 套件 从“高” 密码 字符串组移至“ ”;但Op 找到 SSL 密码 组配置,Apache 为: SSL CipherSuite、Nginx 为: ssl _ciphers。找到 ssl 配置文件 > 禁用RC4 密码 组 > 重启服务 > 检查是否禁用成功 > 完成。如果可能,请重新配置受影响的应用程序以避免 使用 RC4 密码 。RC4 密码 在伪随机字节流的生成 存在缺陷,导致引入了各种各样的小偏差,降低了其随机。攻击者可利用大量的 文推测明文,导致 远程 主机 信息泄露。RC4,如果不存在,新增即可。如果配置 存在:RC4 密码 组,如图。该攻击者可能会推测出明文。 使用 Windows自带的FIPS代替 SSL 1)启用FIPS 操作步骤:管理工具->本地安全策略->安全设置->本地策略->安全选项->找到"系统加 :将FIPS兼容算法用于加 、哈希和签名"选项->右键"属性"->在"本地安全设置"下,选择"已启用(E)",点击"应用"、“确定”,即可。 2)禁用 SSL 密码 套件 操作步骤:按下’ Win + R’,进入"运行",键入" 测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名 体现,手动设置1.2并排除DES-CBC3-SHA加 算法 套件 ,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。 wampserver3.13 apache2.4 php5.6 mysql5.7 1、修改配置文件:conf/httpd.conf和conf/extra/httpd- ssl .conf 在httpd.conf a. 删掉以下语句前的’#’ #LoadModule ssl _module modules/mod_ ssl .so #Include conf/extra/htt... SSL /TLS 协议 信息泄露漏洞(CVE-2 01 6-2183)/ SSL /TLS RC4 信息泄露漏洞(CVE-2 01 3-2566)/ SSL /TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2 01 5-2808) 这几个漏洞都指向 ssl ,服务器为win2 01 2 r2 standard 一、漏洞说明 Windows server 2 01 2R2 远程 桌面服务 SSL 默认是开启的,且有默认的CA证书。由于 SSL / TLS自身存在漏洞缺陷,当开启 远程 桌面服务, 使用 漏洞扫描工具扫描,发现存在 SSL /TSL漏洞。远 部署程序在客户机房,被客户扫描出 一个 漏洞,漏洞如下: SSL /TLS 协议 一个 被广泛 使用 的加 协议 ,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法 一个 缺陷,它能够在某些情况下泄露 SSL /TLS加 流量 文,从而将账户用户名 具有足够资源的 间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定 密码 与已知纯文本之间泄露 XOR 的冲突,进而泄露 密码 文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。虽然目前可以在不启用renegotiation进程的情况下 使用 HTTPS,但很多服务器的默认设置均启用了renegotiation功能。 1. weblogic禁用 SSL v3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的 版本 在其后追加: -Djava.net.prefe...
 
推荐文章
玩足球的斑马  ·  【AIO】使用ORACLE数据库存储过程发送加密email(SSL)-DA-技术分享--MogDB5.2.0提供本站后台数据库服务
2 周前
焦虑的柑橘  ·  使用 Certbot 为 Nginx 自动配置 SSL 证书 | 追殇 Coding
4 天前
温柔的鞭炮  ·  战锤40k 白色疤痕原体 可汗胸像3D打印模型_战锤40k 白色疤痕原体 可汗胸像3D打印模型stl下载_人物3D打印模型-Enjoying3D打印模型网
3 月前
瘦瘦的绿茶  ·  在Hologres中创建表和索引_实时数仓 Hologres(Hologres)-阿里云帮助中心
5 月前
玩足球的柠檬  ·  2024年全网最全的BT种子搜索器|BT磁力在线搜索器|BT搜索引擎大全 - 土爹爹
7 月前
近视的镜子  ·  黑沼泽俱乐部
8 月前
爱运动的上铺  ·  上海人今年坐高铁就能玩遍全国啦! - 侬好上海 - 新民网
1 年前
Link管理   ·   51好读   ·   Sov5搜索   ·   小百科
link管理 - 链接快照平台