漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件

最新推荐文章于 2023-11-30 17:48:02 发布
最新推荐文章于 2023-11-30 17:48:02 发布
阅读量2.4k 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41172950/article/details/106123487
版权

4月底展开的护网前期准备工作–端口渗透的漏洞结果
通报主机apache-tomcat-7.0.85 存在 不安全的ssl证书,相关问题需要修复整改

漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件。

目前处理办法:
server.xml中替换为以下代码

<Connector port="8099" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/mas/boliya/ssl/seer.jks" keystorePass="HjwJ200" URIEncoding="utf-8"
           sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
        TLS_RSA_WITH_AES_128_CBC_SHA,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
        TLS_RSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
        SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"/>
xuhuaping_1988
关注
复现awvs——POODLE 攻击(带 CBC 密码套件SSLv3—CVE-2014-3566)
记录并分享学习安全的知识点..
12-29 2250
1.首先通过awvs对网站进行扫描如下: 2.通过一种工具github中开源工具testssl进行复现,先进行下载,我这边下载好了,有需要的去我百度云盘下载链接:https://pan.baidu.com/s/1V-TbIVsC541D8yEmEkppWA 提取码:需要的评论区扣1,私发 3.下面就直接利用这个工具,利用之前先用./testssl.sh --h查看一下用法 发现参数为-O时是可以检查POODLE漏洞是否存在的 4.使用命令./testssl.sh -O +url来验证漏洞是否存.
SSL/TLS协议安全系列:CBC 模式的弱安全性介绍(一)
weixin_34080571的博客
03-08 3782
GoSSIP_SJTU · 2015/06/24 10:45 编辑标注: 因drops对数学符号的支持存在问题,所以部分内容采取图片的形式显示,我们会经快解决这个问题,希望见谅。 一 前言 在SSL的一些版本中,使用CBC分组模式对数据进行加密,而CBC分组模式在使用中常会出...
实施针对 TLS_FALLBACK_SCSV 的支持。禁用 SSLv3 支持
BabyFace゛‐尐蔡。的博客
02-01 8588
如果需要 SSLv3,请在 SSLv3禁用 CBC 密码套件. 如果需要 CBC 密码套件,请将服务器设置为在 SSLv3 中首选 RC4 密码套件,而不是 CBC 密码套件。   实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3CBC 模式操作的所有密码套件。 这个说法是让我们启用TLS_FALLBACK_SCSV禁用S
用于防止协议降级攻击的TLS备用信号加密套件值(SCSV),RFC7507
Joe's Blog
08-29 3271
为了解决传统服务器的互操作性问题,许多TLS客户端实现不依赖于TLS协议版本协商机制,而是在初始握手尝试失败时有意使用降级协议重新连接。这样的客户端可能会退回到它们宣布版本低至TLS 1.0(或甚至其前身的安全套接层(SSL)3.0))的连接,作为最高支持版本。 虽然这种后备重试可能是与实际遗留服务器连接的有用的最后手段,但主动攻击者可能会利用降级策略来削弱连接的加密安全性。此外,由于网络故障引
php 禁用ssl_apache禁用sslv3的方法
weixin_27808545的博客
12-30 368
导语:ssl 3.0被认为是不安全的,原因在于它使用RC4加密或CBC模式加密,而前者易受偏差攻击,后者会导致POODLE攻击。生产环境中,经常会扫描到此漏洞,解决方法是apache服务端停用该协议。(学习视频分享:编程视频)一、环境准备理解SSL和TLS:http在数据传输过程中使用的是明文,为了解决这个问题https应运而生,ssl就是基于https的加密协议。当ssl更新到3.0版本后,IE...
android版本对tls支持,Android 4.2 TLS1.2支持
weixin_42452642的博客
05-26 1880
[TOC]背景对比http协议,https对传输内容进行加密,天然的支持防篡改,提升了安全性。https架构1576565338401.png现在越来越多的服务器处于安全的考虑切换HTTPS协议,同时对于安全性较低的协议,TLS1.2以下的协议很多都取消了支持,但是andorid4.2设置是默认不开启TLS1.2,这块从官方文档可以得到信息。Client socket:ProtocolSuppor...
【加密通信从入门到精通】:使用Crypto.PublicKey构建SSL_TLS
!...TLS](https://res.cloudinary.com/practicaldev/image/fetch/s--fdIWym_5--/c_imagga_scale,f_auto,fl_progressive,h_420,q_auto,w_1000/...# 1. 加密通信基础 在当今的数字时代,信息安全已成为最为关注的话题之一。...
TLS/SSL漏洞分析与检测
nzw1134864657的博客
07-07 4060
1.5.1 Export 加密算法 Export是一种老旧的弱加密算法,是被美国法律标示为可出口的加密算法,其限制对称加密最大强度位数为40位,限制密钥交换强度为最大512位。 1.5.2 Downgrade(降级攻击) 降级攻击是一种对计算机系统或者通信协议的攻击,在降级攻击中,攻击者故意使系统放弃新式、安全性高的工作方式,反而使用为向下兼容而准备的老式、安全性差的工作方式,降级攻击常被用于中间人攻击,讲加密的通信协议安全性大幅削弱,得以进行原本不可能做到的攻击。 在现代的回退防御中,使用单独的信号套
openssl s_server & s_client 相关命令参数
hallyz的博客
05-23 1564
openssl s_server & s_client 和相关命令参数 示例: 更新动态链接库名字列表 sudo ldconfig openssl s_server -accept 443 -key server.pem -cert server.pem -debug -msg openssl s_client -connect 127.0.0.1:443 -debug -msg ln -s /usr/local/ssl3/lib/libssl.so.3 /usr/lib64/libssl.
SSL/TLS 安全测试
weixin_30642267的博客
07-23 3360
本文介绍了使用半自动化工具执行SSL&TLS安全性评估的过程,以及如何使用手动及工具的测试方法验证并发现问题。目的是优化TLS和SSL安全测试流程,帮助信息安全顾问在渗透测试时在TLS / SSL上花费更少的时间。 什么是TLS和SSL? 安全套接层(SSL)和传输层安全(TLS)加密用于通过互联网提供通信安全(传输加密)和来保护网络流量和互联网上的隐私,用于诸如网络,电子邮件,...
openSSL DES算法(ecb,cbc....)
07-18
openSSL DES ecb padding
通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
m0_37856120的博客
11-24 1311
添加或者修改为(其实就是去掉CBC的算法)
关于fallback_scsv的学习记录
最新发布
qq_31539845的博客
11-30 1376
如果ClientHello.cipher_suites中出现TLS_FALLBACK_SCSV,并且服务器支持的最高协议版本高于ClientHello.client_version中指示的版本,则服务器必须以致命的illegal_fallback警报作出响应(除非它由于致命的protocol_version警报而响应,因为版本号为 ClientHello.client_version不受支持)。server(支持SSLv3:TLSv1:TLSv11:TLSv12:TLSv13:SM2v11)
计算机怎样禁用中等加密算法,限制加密算法和协议 - Windows Server | Microsoft Docs...
weixin_30002803的博客
07-24 2895
限制某些加密算法和协议在 Schannel.dll09/08/2020本文内容本文介绍如何限制某些加密算法和协议在安全文件的Schannel.dll使用。 此信息还适用于为 MICROSOFT 加密 API (CAPI) 编写的独立软件供应商 (ISV) 。适用于: WindowsServer 2003原始 KB 编号: 245030备注本文适用于 Windows Server 2003 和...
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
03-05 9238
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击的SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
tsl加密算法_【TLS】关于TLS密码套件说明
weixin_36214932的博客
12-29 1506
TLS主要包含两部分协议,一部分是Record Protocol,描述了数据的格式,另一部分是Handshaking Protocols,描述了握手过程。握手的目的有两个,一个是保证通信的双方都是自己期待的对方,任何一方都不可能被冒充,另一个是交换加密密码,使得只有通信的双方知道这个密码,而别人不知道。前一个就是我们常说的认证,而后一个就是密码交换。认证是通过证书来达到的,而密码交换是通过证书里面...
TLS 各种加密套件
热门推荐
weixin_43408952的博客
05-11 1万+
TLS 各种加密套件说明
IBM AppScan 安全扫描:检测到RC4密码套件,服务器支持以下较弱的密码套件
崔向阳@李晓的博客
12-06 9069
一问题描述: IBM Security AppScan Standard给出系统安全报告: 二解决: 下面是JDK对TLS版本的支持情况: 1. weblogic禁用SSLv3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的版本在其后追加: -Djava.net.prefe...
Python实现TLS DROWN攻击扫描工具
6. 安全配置和最佳实践:掌握各种安全配置,例如禁用SSLv2,启用TLS Fallback SCSVTLS会话票证复用),使用HSTS(HTTP严格传输安全)等。 7. 风险评估和漏洞管理:了解如何评估系统的安全性,并实施漏洞扫描及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值