防护SSL V3漏洞

最新推荐文章于 2025-05-09 15:03:42 发布
最新推荐文章于 2025-05-09 15:03:42 发布 · 239 阅读 · 0
文章标签:

#操作系统

我们刚刚从 OpenSSL官网了解到SSLv3 - Poodle 攻击,请广大用户注意,详细的信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf

该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。

沃通(WoSign)建议关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭。



关闭服务器SSLv3支持:



Nginx:


ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;

ssl_session_timeout 5m;

ssl_session_cache builtin:1000 shared:SSL:10m;



Apache:


SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS



关闭客户端SSLv3支持:



谷歌已表示chorme浏览器已经通过技术 手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉 SSL 3.0 支持的方法。

Windows 用户:

1)完全关闭 Chrome 浏览器

2)复制一个平时打开 Chrome 浏览器的快捷方式

3)在新的快捷方式上右键点击,进入属性

4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1

Mac OS X 用户:

1)完全关闭 Chrome 浏览器

2)找到本机自带的终端(Terminal)

3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

Linux 用户:

1)完全关闭 Chrome 浏览器

2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1

Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。


转载至http://www.wosign.com/news/SSLv3-Poodle.htm
iteye_14637
关注
OpenSSL命令注入漏洞 (CVE-2022-1292)分析与防护
不忘初心,护天下安全!
10-07 6196
OpenSSL是 OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL存在远程代码执行漏洞漏洞编号CVE-2022-1292。该漏洞是由于c_rehashc脚本未正确清理shell元字符的问题,未经授权的攻击者可通过构造恶意数据,从而执行系统命令,导致远程代码执行。
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
热门推荐
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
sslv3漏洞_【事件分析】OpenSSL“心脏出血”漏洞_零基础黑客知识点
程序员三九的博客
06-13 459
阅读: 22,518早在2014年,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区,它被命名为“心脏出血”,表明网络上出现了“致命内伤”。利用该漏洞
SSLv3 存在严重设计缺陷漏洞 (CVE-2014-3566)
山兔的博客
03-14 4119
SSL3.0是已过时且不安全的协议,他会导致用户在传输数据的时候,被泄露,这个时候,完美只要验证在数据传输的时候,使用了SSLv3协议,即可证明存在这个漏洞 sslscan有相当完整的支持来检测SSL和TLS的所有版本和密码 代码:sslscan IP 使用效果: 注意点: 也有可能是waf那边的配置导致,waf那边可以配置加密算法和ssl 版本 ...
POODLE SSLv3 安全漏洞 (CVE-2014-3566)
Greer的博客
08-18 8792
漏洞概述 SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。为了通用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时,首先提供其所支持协议的最新版本,若该握手失败,
Google发布SSLv3漏洞简要分析报告
weixin_34253126的博客
01-08 182
摘要:今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。 作者:FreebuF.COM 来源:ZDNet安全频道 | 2014年10月15日 11:59:26 关键字:Goo...
漏洞分析---SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析
平凡之路
10-21 1万+
SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析   转自爱毒霸社区,原文链接:http://bbs.duba.net/thread-23222323-1-1.html   一、漏洞概述         SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描...
容器应用是否不会涉及到,Windows服务器 IIS SSL V2/V3漏洞这个问题
最新发布
11-27
嗯,用户这次的问题很具体,是关于容器应用是否会涉及Windows服务器IIS SSL V2/V3漏洞的问题。用户引用了三段资料,看起来是在处理实际的SSL协议配置问题。 从用户提供的引用来看,引用[1][2][3]都强调了SSL v2/v3...
华为RH2288H V3,V100R003C00SPC733更新包
08-13
【华为RH2288H V3,V100R003C00SPC733更新包】是华为服务器针对RH2288H V3型号的一个重要软件升级,旨在优化系统性能、增强稳定性并修复可能存在的安全漏洞。RH2288H V3是一款高效能、高密度的2U双插槽机架式服务器...
【v3AAPS安全防护手册】:代码加固,预防破解与篡改
[【v3AAPS安全防护手册】:代码加固,预防破解与篡改](https://slideplayer.com/slide/16820217/97/images/2/Reverse+Engineering%3A+Legal+%26+Ethical.jpg) # 摘要 随着网络攻击手段的不断进化,软件安全成为...
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 3431
漏洞详情 POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 1198
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
SSL 3.0 安全漏洞修复方法
huhucjf的专栏
10-17 1974
SSL 3.0 安全漏洞修复方法 V2EX 谷歌今天披露了一个存在于 SSL 3.0 版本当中的安全漏洞,详细信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf 什么是 SSL3.0 Poodle漏洞SSL协议由美国 NetScape公司开发的, 1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之
SSLv3 存在严重设计缺陷漏洞,整改方法
yjfkeifk的博客
01-18 3875
发现此问题后,进入WINDOWS注册表,然后修改: 注册表进入: [HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols] 在SSL 3.0文件夹下新建:Server目录,然后新建:“Enabled”=dword:00000000 在SSL 2.0文件夹下新建:Server目录,然后新建:“Enabled”=dword:00000000 完事后保存并重启服务器,最后用绿盟和丹靘测试进行
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
qq_50854662的博客
08-15 5045
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
服务器SSL不安全漏洞修复方案
maguanghui_2012的专栏
05-20 4198
关于SSL POODLE漏洞POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,sessi...
服务器配置错误导致SSL/TLS出现安全漏洞,如何进行排查?
2409_89014517的博客
05-09 2007
服务器配置错误导致SSL/TLS出现安全漏洞,如何进行排查?
windows操作系统上启用SSLv3协议引发的威胁
Admans的专栏
06-28 432
原文:https://blog.youkuaiyun.com/qq_29914837/article/details/82899822。GUI和命令行版本都可用。3.0在解密使用密码块链接(CBC)模式下的块密码加密的消息时处理填充字节的方式。该软件需要在 .Net 环镜下才能运行,需要安装NET Framework 4.0。远程主机受到称为POODLE的中间人(MitM)信息泄露漏洞的影响。版权声明:本文为作者原创文章,转载请附上博文链接!
ssl协议漏洞的加固方式
11-01
<think>嗯,用户这次明确要求提供SSL协议漏洞的加固方法,而且引用了三份资料。从对话历史看,我之前已经解释过SSLv2/v3漏洞不属于传统弱密码但属于加密强度不足的问题,用户现在更关注具体操作层面的解决方案。 用户引用的材料很有针对性:[1]提到中强度加密漏洞和nginx配置示例,[2]给出自动化检测工具的开发思路,[3]则包含密码套件配置模板。不过用户最后特别强调“想查找加固方式”,说明ta可能是个运维人员,急需实操方案而非理论分析。 需要特别注意几个技术细节: 1. 引用[1]的漏洞描述里提到3DES(168位)实际有效强度仅112位,这个容易被忽略 2. 引用[3]的BAR-MITZVAH漏洞(CVE-2015-2808)要求禁用RC4算法 3. 用户没提兼容性问题,但实际加固时必须考虑老设备支持 加固方案要分层设计:先做协议禁用(处理SSLv2/v3),再做加密套件过滤(解决RC4/DES),最后是密钥交换加固。对于不同服务器类型给出差异配置: - Nginx重点在ssl_ciphers指令优化 - IIS需要修改注册表或工具 - Tomcat涉及connector属性 测试环节特别补充openssl命令验证,比单纯用nmap更准确。考虑到用户可能是金融从业者(之前问过PCI DSS),相关说明里标注了PCI 3.2的要求。 最后生成的问题延伸了TLS 1.3特性,因为新协议能根本性解决POODLE这类老漏洞。用户如果继续问兼容性方案,可以展开讲TLS_FALLBACK_SCSV的配置技巧。 </think>以下是针对SSL协议漏洞的系统化加固方法,结合安全标准和实践指南整理: --- ### **SSL协议漏洞加固方案** #### **一、禁用不安全协议** 1. **全面废弃SSLv2/v3** ```nginx # Nginx配置示例 ssl_protocols TLSv1.2 TLSv1.3; # 禁用SSLv2/v3和TLSv1.0/1.1[^1][^3] ``` - Windows服务器:通过注册表禁用 ```regedit [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols] "SSL 2.0"=Disabled "SSL 3.0"=Disabled ``` #### **二、强化加密套件配置** 1. **优先选用前向保密算法** ```nginx ssl_ciphers &#39;ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:!DES:!3DES:!RC4&#39;;[^1][^3] ``` - **禁用风险算法**: - DES/3DES(易受SWEET32攻击) - RC4(受BAR-MITZVAH漏洞影响)[^3] - 密钥长度<128位的算法 2. **密钥交换强度保障** ```bash # OpenSSL生成4096位RSA密钥 openssl genrsa -out server.key 4096 ``` #### **三、高级防御机制** 1. **开启HSTS强制HTTPS** ```nginx add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; ``` 2. **启用OCSP装订**(防证书撤销绕过) ```nginx ssl_stapling on; ssl_stapling_verify on; ``` #### **四、漏洞专项修复** | **漏洞类型** | **加固措施** | |----------------------|-----------------------------------------------------------------------------| | **POODLE攻击** | 禁用SSLv3 + 关闭TLS压缩[^1] | | **SWEET32** | 禁用3DES算法 | | **BAR-MITZVAH** | 移除RC4算法[^3] | | **CVE-2016-2183** | 禁用DES/3DES,使用AES-GCM替代 | --- ### **验证加固效果** ```bash # 使用OpenSSL测试协议支持 openssl s_client -connect example.com:443 -ssl3 # 应返回"no peer certificate available" # 使用NMAP检测弱密码 nmap --script ssl-enum-ciphers -p 443 example.com # 输出中不应出现DES/3DES/RC4 ``` > **合规要求**:金融行业(PCI DSS v3.2)强制要求禁用SSL/TLS 1.0及以下协议,密钥长度≥2048位,并启用前向保密[^2]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值