漏洞Reconfigure the affected application to avoid use of weak cipher suites. 修复方案

最新推荐文章于 2025-10-16 10:51:12 发布
原创 最新推荐文章于 2025-10-16 10:51:12 发布 · 1.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞修复

修复方案:禁用弱加密套件(Weak Cipher Suites)

1. 确认当前使用的加密套件

在修复前,先检查应用程序或服务器当前支持的加密套件:

  • OpenSSL (适用于HTTPS/TLS服务)
    openssl ciphers -v 'ALL:COMPLEMENTOFALL' | sort
  • Nginx/Apache/Tomcat
    检查配置文件中的 ssl_ciphersSSLCipherSuite 设置。
  • Java 应用(Tomcat/Jetty/Spring Boot)
    检查 server.ssl.ciphersSSLEnabledProtocols 配置。
2. 禁用不安全的加密套件

根据不同服务器/应用,修改配置以仅允许强加密套件(如AES-GCM、CHACHA20、ECDHE密钥交换)。

(1)Nginx 配置示例

                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    

      

        

            

              
                
                  JavaAlpha
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
Tomcat6/7应用服务器-禁用RC4等弱密码套件

				
			

			

				

					果果的小莴笋
				

				

					08-09
					
					2126
					
				

			

		

		

			
				
Tomcat6/7应用服务器-禁用RC4等弱密码套件
密码套件根据Tomcat应用服务器和jdk使用。修改conf\server.xml文件配置的sslEnabledpotocols、ciphers
sslEnabledpotocols的值一般为:TLSv1,TLSv1.1,TLSv1.2

Java6 + Tomcat6/7 的ciphers

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE

			
		

	



                

            
              



	

		

			

				
					
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复

				
			

			

				

					qq274575499的博客
				

				

					04-03
					
					7032
					
				

			

		

		

			
				
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞

			
		

	



              


  
              

                


	

		

			

				
					
网站 弱密码套件修复

					
最新发布

				
			

			

				

					wxjlkh的博客
				

				

					10-16
					
					578
					
				

			

		

		

			
				
密码套件是 TLS/SSL 握手时使用的加密算法组合(包含密钥交换、加密、认证等算法)。使用过时算法(如 RC4、DES、3DES)密钥长度过短(如小于 128 位)不支持前向 secrecy(如 RSA 密钥交换,无 ECDHE)依赖 SHA1 及以下哈希算法。

			
		

	





	

		

			

				
					
如何定期检查和更新Nginx的安全配置?

				
			

			

				

					w13359990065的博客
				

				

					10-21
					
					906
					
				

			

		

		

			
				
例如,在`nginx.conf`中设置`client_body_buffer_size`、`client_header_buffer_size`、`client_max_body_size`和`large_client_header_buffers`。5. 设置超时参数:合理配置超时参数,如`client_body_timeout`、`client_header_timeout`和`keepalive_timeout`,以防止资源耗尽攻击。可以通过命令行检查当前Nginx版本:`nginx -v`。

			
		

	



		

			
		



	

		

			

				
					
解决IBM Security AppScan扫描出现检测到RC4密码套件问题

				
			

			

				

					fendou_0123456789的博客
				

				

					11-01
					
					1267
					
				

			

		

		

			
				
http://www.mamicode.com/info-detail-1729245.html

本人做笔记参考使用

			
		

	





	

		

			

				
					
使用IISCrypto工具禁用3DES密码套件,windows安全加固

				
			

			

				

					weixin_44858074的博客
				

				

					04-03
					
					1671
					
				

			

		

		

			
				
以下是禁用3DES密码套件的详细操作步骤,以及如果在Ciphers。

			
		

	





	

		

			

				
					
Reconfigure the affected application to avoid use of weak cipher suites.

				
			

			

				

					05-31
				

			

		

		

			
				
 java -Djdk.tls.server.cipherSuites=TLS_AES_256_GCM_SHA384 -Dhttps.protocols=TLSv1.2  ```  - **Node.js**   在`https.createServer`中指定`ciphers`:  ```javascript  const https = require('https');  ...

			
		

	





	

		

			

				
					
SSL漏洞 TLS/SSL Sweet32 attack || TLS/SSL Wrak Cipher Suites[解决]

				
			

			

				

					Mankel
				

				

					01-13
					
					1万+
					
				

			

		

		

			
				
SSL漏洞问题[解决]前言1、升级openssl版本2.1 安装2.2 备份2.3 创建软连接2.4 查看openssl版本2.5 重新扫描,发现漏洞任未解决2、重新编译nginx2.1 openssl前置2.2 重新编译安装2.3 验证
前言
扫描网站发现有两个跟SSL相关的中级漏洞
TLS/SSL Sweet32 attack
TLS/SSL Wrak Cipher Suites

1、升级openssl版本
2.1 安装
wget -P /usr/local/src https://infra-res

			
		

	





	

		

			

				
					
IBM AppScan 安全扫描:支持弱 SSL 密码套件

				
			

			

				

					sunny_happy08的博客
				

				

					10-12
					
					5759
					
				

			

		

		

			
				
IBM AppScan 安全扫描:支持弱 SSL 密码套件

解决方法:

1.Server 2008(R2)

根据appScan的修订建议访问地址:http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx

里面说了如何修改SSL 密码套件的优先级和状态,里面有一堆的加密方式,很难知道哪些该保留...

			
		

	





	

		

			

				
					
TLS 1.2(Transport Layer Security version 1.2)详解 && TLS 1.2 密码套件

				
			

			

				

					csdn_tom_168的博客
				

				

					07-03
					
					2835
					
				

			

		

		

			
				
TLS 1.2作为互联网安全传输的基石,解决了早期协议(如SSLv3)的缺陷,但其复杂的握手流程、可选安全性和历史遗留漏洞(POODLE等)促使TLS 1.3全面革新。新系统部署:应优先采用TLS 1.3,享安全与性能优势。旧系统维护:需严格配置TLS 1.2(禁用CBC、强制PFS),并通过自动化扫描工具(如Qualys SSL Labs)持续监控安全状态。

			
		

	





	

		

			

				
					
SSL 弱  密码套件 注册表 配置 windows

				
			

			

				

					laokaizzz的专栏
				

				

					04-29
					
					8406
					
				

			

		

		

			
				


IBM security appscan standard 是个好工具

测试 自己的网站 ,发现支持弱ssl密码套件

如何处理他也给出了解决方案。网站中支持哪些弱ssl密码套件也说出来了。对应的配置禁用就好。

如果是server 2003 的,需要加注册表,看中文的翻译,RC4 128/128 子项,不知道键到底是啥,不知道是不是 子项是 rc4 键是128/128,看英文版本的才...

			
		

	





	

		

			

				
					
SSL-TLS类安全漏洞及SLB安全漏洞问题

				
			

			

				

					m0_59598029的博客
				

				

					04-21
					
					6935
					
				

			

		

		

			
				
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞影响。不同点:SLB。

			
		

	





	

		

			

				
					
教你如何在windows server中关闭RC4和3DES

				
			

			

				

					par@ish的博客
				

				

					04-30
					
					8708
					
				

			

		

		

			
				
网络安全领域常常可见不可及,而漏洞扫描后的修复,则更是难上加难,对漏洞修复人员的技能要求很高。下面分享一例SSL RC4 Cipher Suites Supported (Bar Mitzvah) 漏洞修复的方法,该漏洞CVSS 3.0评分5.9分。
Nessus scan info:
Description
The remote host supports the use of RC4 in one or more cipher suites.
The RC4 cipher is flawed in it

			
		

	





	

		

			

				
					
SSL/TLS类安全漏洞及SLB安全漏洞问题

				
			

			

				

					qq_38254635的博客
				

				

					12-27
					
					1万+
					
				

			

		

		

			
				
SSL/TLS类安全漏洞及SLB安全漏洞问题

			
		

	





	

		

			

				
					
简单几步让网站支持https,windows iis下https配置方式

					
热门推荐

				
			

			

				

					万事俱备,就差一个程序员了
				

				

					01-21
					
					2万+
					
				

			

		

		

			
				
1.https证书的分类

 

SSL证书没有所谓的"品质"和"等级"之分,只有三种不同的类型。
SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。
CA机构颁发的证书有3种类型:
域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份...

			
		

	





	

		

			

				
					
检测到弱密码套件:不支持完全前向保密

				
			

			

				

					weixin_41645232的博客
				

				

					03-31
					
					5375
					
				

			

		

		

			
				
服务器支持以下较弱的密码套件:
ID 名称 SSL 版本
47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2
53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2
60 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS 1.2
61 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS 1.2
156 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2
157 TLS_RSA_WITH_

			
		

	





	

		

			

				
					
SSL weak ciphers 漏洞修复过程

				
			

			

				

					bluemoon_0的博客
				

				

					01-13
					
					939
					
				

			

		

		

			
				
SSL weak ciphers 漏洞修复过程

			
		

	





	

		

			

				
					
密码套件 and 弱密码套件漏洞

				
			

			

				

					二狗学网安
				

				

					09-18
					
					5628
					
				

			

		

		

			
				
弱密码套件

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值