某b站SL/TLS 配置扫描加ai分析

最新推荐文章于 2025-05-28 11:02:20 发布
最新推荐文章于 2025-05-28 11:02:20 发布
阅读量1.1k 收藏 5
点赞数 31
文章标签: 人工智能 机器学习 web安全 网络攻击模型 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88867267/article/details/145633510
版权

从你的最新扫描结果来看,你使用了 Nmap 对 bilibili.com 的 80 和 443 端口进行了扫描,并运行了与 HTTP 和 SSL/TLS 相关的脚本。这次扫描提供了更多关于 SSL/TLS 配置和证书的信息。以下是扫描结果的详细分析:

扫描结果分析

目标主机信息

  • IP 地址:139.159.241.37

  • 反向 DNS37.241.159.139.in-addr.arpa

  • 其他 IP 地址:119.3.70.188、47.103.24.173、8.134.50.24(未扫描)

端口和服务
端口状态服务
80/tcpopenhttp
443/tcpopenhttps

SSL/TLS 配置分析

扫描结果显示,bilibili.com 支持以下 SSL/TLS 版本和加密套件:

TLSv1.0

  • 支持的加密套件:

    • 强(A):TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA

    • 弱(C):TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHATLS_DHE_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA

  • 警告:使用了 64 位块密码 3DES,可能受到 SWEET32 攻击。

TLSv1.1

  • 加密套件与 TLSv1.0 相同,同样存在 SWEET32 攻击警告。

TLSv1.2

  • 支持的加密套件:

    • 强(A):TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384

    • 中等(A):TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_DHE_RSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256

    • 弱(C):TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHATLS_DHE_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA

  • 警告:使用了 64 位块密码 3DES,可能受到 SWEET32 攻击。

最低强度

  • 最低强度等级:C(弱)

SSL/TLS 证书信息

  • 证书主题

    • commonName=*.bilibili.com

    • organizationName=上海幻电信息科技有限公司

    • stateOrProvinceName=上海

    • countryName=CN

  • 证书颁发者

    • commonName=GlobalSign RSA OV SSL CA 2018

    • organizationName=GlobalSign nv-sa

    • countryName=BE

  • 密钥类型:RSA

  • 密钥长度:2048 位

  • 签名算法:SHA256withRSA

  • 有效期

    • 开始时间:2024-10-31T09:46:02

    • 结束时间:2025-12-02T09:46:01

  • 证书哈希

    • MD5d836:f54d:a48d:7528:df42:714e:a3bd:d52e

    • SHA-1d4eb:2141:9b80:e727:536f:68e3:acfa:d53c:61d1:782b

安全分析

  1. 支持的 TLS 版本

    • 网站支持 TLSv1.0、TLSv1.1 和 TLSv1.2。建议禁用 TLSv1.0 和 TLSv1.1,因为它们已被证明存在安全问题(如 BEAST 攻击)。现代浏览器和服务器通常支持 TLSv1.2 和 TLSv1.3。

  2. 加密套件

    • 网站使用了许多强加密套件(如 AES-GCM),但也支持一些较弱的加密套件(如 3DES)。建议禁用 3DES 加密套件,以防止 SWEET32 攻击。

  3. 证书有效期

    • 当前证书有效期至 2025 年 12 月 2 日,建议在证书到期前及时更新。

  4. 证书颁发机构

    • 证书由 GlobalSign 颁发,这是一个受信任的证书颁发机构。

后续建议

  1. 禁用弱加密套件

    • 建议禁用 3DES 和其他弱加密套件,仅使用强加密套件(如 AES-GCM)。

  2. 禁用旧的 TLS 版本

    • 建议禁用 TLSv1.0 和 TLSv1.1,仅支持 TLSv1.2 和 TLSv1.3。

  3. 检查证书链

    • 确保所有中间证书都已正确配置,以避免证书链问题。

  4. 使用 HSTS(HTTP Strict Transport Security)

    • 如果尚未启用,建议启用 HSTS,以强制客户端使用 HTTPS。

  5. 使用 CSP(Content Security Policy)

    • 配置 CSP 以防止跨站脚本攻击(XSS)。

  6. 使用 SSL Labs SSL Test

    • 可以使用 SSL Labs SSL Test 对网站的 SSL/TLS 配置进行更全面的评估。

总结

这次扫描提供了关于 bilibili.com 的 SSL/TLS 配置和证书的详细信息。虽然整体配置较为安全,但仍有一些改进空间,例如禁用弱加密套件和旧的 TLS 版本。这些改进可以进一步提升网站的安全性。

如果你有其他问题或需要进一步分析,请随时告诉我!

完全之人
关注
操作系统对鸿蒙应用多设备的安全固措施
操作系统内核探秘的博客
04-26 711
随着万物互联时代到来,鸿蒙操作系统构建的分布式多设备协同生态已成为智能终端发展的核心方向。本文聚焦鸿蒙系统在多设备场景下的安全固技术体系,全面解析设备互联、数据流转、应用协同过程中的安全保障机制。涵盖从底层硬件安全到上层应用安全的全链路防护措施,重点分析分布式认证、动态密钥管理、跨设备权限控制等关键技术的实现原理与工程实践。背景与基础:定义核心概念,明确多设备安全的技术边界架构解析:分层拆解鸿蒙安全体系的核心组件与交互关系关键技术:深入算法原理、数学模型与代码实现细节工程实践。
渗透测试 10 --- 扫描 web目录 (dirb、wfuzz、wpscan、nikto)
墨鱼菜鸡
07-17 4876
github 更多工具:https://github.com/topics/dirb github 上 fuzz 工具、字典:https://github.com/search?q=fuzz 当使用一个工具扫描完成后,如果没发现漏洞,可以使用其他 web 扫描工具再扫描下,因为每个工具可能侧重点不一样,扫描出来的漏洞就不一样。 关键字 ...
【AWVS】python调AWVS接口 新建扫描并导出扫描报告 [自定义扫描报告](三)
微雨停了的博客
04-12 4万+
文章目录前言一、代码 前言 前文请见: python调AWVS接口 新建扫描并导出扫描报告(一) python调AWVS接口 新建扫描并导出扫描报告[批量扫描](二) 本期新特性:在原有自动化扫描基础上,实现自定义扫描报告 一、代码 ...
【云驻共创】华为云IoTDA服务下的设备管理流程实操
时光隧道
01-13 3万+
文章目录一、当今社会发展趋势1.社会背景1.什么是物联网(IoT)2.什么是华为云(IoTDA)二、为什么需要设备发放1.传统模式-存在问题2.设备发放模式-问题改进三、设备接入服务的功能体验1.功能一:规模化设备安全发放2.功能二:设备发放支持多种策略3.功能三:设备发放支持bootstrap流程总结 一、当今社会发展趋势 1.社会背景 随着当今社会基础设施的不断完善,5G、IoT 技术日渐成熟,传统应用已经无法满足人们需求,随之而来是诞生一个新的应用形态即物联网(IoT)。我们能看到的一些新的应用场景
RTTHREAD 软件包目录(实时更新)
supperThomas的专栏
04-04 2902
RTTHREAD 软件包目录 ai 包名 作者 license 备注 elapack wuhanstudio MIT 嵌入式线性代数库,兼容 matlab libann wuhanstudio MIT 轻量级 ANN 库,可以训练,保存和导入模型 nnom Jianjia Ma Apache-2.0 轻量级的神经网络框架, 模型一键转换, 让MCU也神经一把 onnx-backend wuhanstudio MIT 开源神经网络模型 onnx 后端,支持几乎所有主流机器学习模型
运维面试题
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机与主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩码(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每一类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
ffmpeg翻译文档
kingvon_liwei的专栏
01-28 5万+
转自 http://xdsnet.github.io/other-doc-cn-ffmpeg/index.html 1 命令语法   ffmpeg [全局选项] {[输入文件选项] -i 输入文件} ... {[输出文件选项] 输出文件} ... 即   ffmpeg [global_options] {[input_file_options] -i input_file} ....
左耳听风——笔记二:程序员练级攻略
热门推荐
页页的博客
10-26 6万+
左耳听风——笔记二:程序员练级攻略
信安小白,一篇博文讲明白数字证书和PKI(公钥基础设施)
.G();的博客
10-28 7226
数字证书前言一、数字证书二、CA(Certification Authority)认证2.1 CA认证信息2.2 CA结构2.3 一般的证书产生流程2.4 完整流程三、PKI,Public Key infrastructure ,公钥基础设施3.1 PKI/CA发展历程3.2 PKI权威机构四、PKI应用和访问控制4.1 网银安全流程4.2 HTTPS(HTTP over SSL)4.2.1 SSL概述4.2.2 **身份认证、密码安全传输和存储:**4.3 身份认证方式举例4.3.1 动态口令牌4.3.
DLMS通讯协议安全漏洞分析:风险评估与防御策略完整手册
![DLMS通讯协议安全漏洞分析:风险评估与防御策略完整手册]... 参考资源链接:[DLMS电能表通讯协议详解及SL7000 OBIS指南](https://wenku.youkuaiyun.com/doc/64a619e1e013f15bbae337
六祎-实现微信支付宝QQ钱包三块合一收款码
六祎的博客
08-01 1万+
#在这个网上传自己的二维码:https://cli.im/deqr #会有对应的链接,然后在下方替换相应的链接即可 <!doctype html> <html> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=e...
相见恨晚的编程学习词典!谁还不是南极滑冰的那个崽儿?!
weixin_45981643的博客
10-01 6398
received: 审查,复习,回顾,评论 de facto standard: 约定成俗的 spot: 地点,部位,场所,斑点,污点,点;太阳黑子;局部,地区;亮点;现货 linguistic: 语言学 AI - Platform : 人工智能平台 launch: 发布 launchpad: 控制台 canonical: 权威的,经典的 disambiguation: 消歧义 context: 语境 tokenize: 标记化 numeral system: 计数系统。使用一组数字符号表示数(number
Prompt Tuning:优化提示调优全攻略
ZJQ的博客
05-26 773
Prompt Tuning(提示调优)是一种通过优化提示词来调整预训练语言模型行为的技术。主要变体包括:Prefix Tuning(添可训练前缀向量)、Hard-Prompt Tuning(直接使用自然语言提示)、Soft-Prompt Tuning(学习通用提示向量)、Prompt Ensemble(多提示集成)和Auto-Prompt(自动搜索最优提示)。其中Hard-Prompt Tuning最为直观,可通过自然语言指令(如"这段文字的情感是积极的")引导模型输出。代码示例展示了
同源“平滑思想”的问题解法:正则化与拉普拉斯平滑
最新发布
qq_32205577的博客
05-28 855
正则化与拉普拉斯平滑,一个是机器学习的“参数约束工具”,一个是概率模型的“分布修正技术”,看似分属不同领域,实则共享“平滑思想”的内核——通过调整目标函数或统计量,对极端情况进行缓和,使模型或分布更接近真实规律。
一、OpenCV的基本操作
qq_48904748的博客
05-23 844
OpenCV是一个功能强大的计算机视觉库,包含多个模块,如图像处理、视频分析机器学习等。基础操作包括图像的IO操作、绘制几何图形、获取和修改像素点、获取图像属性、图像通道的拆分与合并以及色彩空间的转换。此外,OpenCV还支持图像的算术操作,如图像的法和混合,这些操作可以用于图像增强和合成。通过这些功能,OpenCV能够处理各种图像处理任务,为计算机视觉应用提供强大的支持。
智能体商业化落地实战指南:破解技术变现“最后一公里“难题
2401_88740939的博客
05-28 761
AI智能体开发遇变现难题,井云平台推出解决方案。当前智能体开发者面临三大困境:用户管理低效、支付链路缺失、流量转化乏力。井云平台通过三大引擎帮助实现商业化闭环:1)灵活计费模式和支付系统;2)独立官网生成与会员运营工具;3)企业级定制服务。典型应用场景包括法律咨询、文案生成、虚拟偶像等,支持从开发到变现的零代码快速部署,解决AI技术落地最后一公里问题,让智能体真正实现商业价值。
基于音频Transformer与动作单元的多模态情绪识别算法设计与实现(在RAVDESS数据集上的应用)
weixin_42380711的博客
05-24 2005
摘要:情感识别技术在医学、自动驾驶等多个领域的广泛应用,正吸引着研究界的持续关注。本研究提出了一种融合语音情感识别(SER)与面部情感识别(FER)的自动情绪识别系统。实验结果显示,通过附多层感知器进行整体微调时取得最佳准确率,验证了迁移学习相较于从头训练更具鲁棒性,且预训练知识有助于任务适应。在FER方面,通过提取视频动作单元对比静态模型与顺序模型的性能差异,发现两者差异较小。错误分析表明,视觉系统可通过高情绪负载帧检测器进行优化,这为视频情感识别方法研究提供了新思路。
React笔记-Ant Design X样本间对接智谱AI
IT1995的博客
05-26 1045
本文介绍了如何将AntDesignX样本间对接智谱AI的API接口。主要步骤包括:1)搭建AntDesignX样本间;2)获取智谱AI的API接入信息;3)修改代码中的请求配置,设置基础URL、API密钥和模型参数;4)调整请求处理逻辑,实现流式响应处理和数据拼接。关键点在于正确配置请求参数和实现流式数据的实时更新,最终完成与智谱AI的对接。
NoteGen 如何使用 AI 进行记录
github_35432979的博客
05-26 518
切换到 AI 整理模式:在对话框右下角切换为“整理模式”,AI分析所有记录(如一周内的内容),生成一篇结构化的 Markdown 笔记。这适合视觉化记录,如照片或图表。NoteGen 的记录页面是 AI 记录的起点,它支持多种方式(如截图、插图、文件、文本和链接),并由 AI 助手增强效率。提示:在记录过程中,AI 助手会自动检测剪贴板内容(如文本或图片),并在 5 秒内提示你记录,极大提高了效率。文件记录:选择本地文件(如 TXT 或 PDF),AI 会将其转换为文本形式记录,支持快速提取内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值