SSL安全漏洞解决方案

最新推荐文章于 2025-10-13 16:29:08 发布
原创 最新推荐文章于 2025-10-13 16:29:08 发布 · 2w 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

文章目录

前言

上周公司对公网系统进行了安全检查,扫描出了SSL相关漏洞,主要有SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)。由于是Windows机器,绿盟科技报告给出的解决方案链接无效,本文给出实际的解决办法。

一、 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

1.详细描述

TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

来源:Karthik Bhargavan Gaetan Leurent
链接:https://www.openssl.org/news/secadv/20160922.txt

2.解决办法

官方报告版:
1、OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件
3、Windows系统可以参考如下链接:
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016
当查看链接时里面没有真正解决方案
在这里插入图片描述
真正典藏版:
Windows server 2012R2远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。
远程主机支持的SSL加密算法提供了中等强度的加密算法,目前,使用密钥长度大于等于56bits并且小于112bits的算法都被认为是中等强度的加密算法。
1、 登录服务器,windows+R:运行gpedit.msc,打开“本地组策略编辑器”
在这里插入图片描述
2、 打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-

最低0.47元/天 解锁文章
公子公子~
关注
Rancher v2.4.5 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
小康子的博客
12-14 8109
最近服务器被“绿盟科技”扫出该漏洞,具体是由于 Rancher 组件 etcd 版本过低造成的。 1. 升级服务器 openssl 版本 首先查看服务器 openssl 版本,升级到 1.1.1 即可,具体参考 升级 CentOS 7 openssl 版本openssl version 升级前OpenSSL 1.0.2k-fips 26 Jan 2017 升级后OpenSSL 1.1.1h 22 Sep 2020 2. 使用 testssl.sh 工具测试 testssl.sh 测.
SSL相关漏洞解决方法
12-03 3140
最近用绿盟扫描系统进行内网网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的加固方法。 本次涉及漏洞 1.漏洞名称:SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 2.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 知识普及1:SSL协议要点 SSL(Secure So...
漏洞问题解决—SSL/TLS Not Implemented (verified)(中危)
最新发布
前方一片光明
10-13 1069
漏洞表明目标系统或应用程序,即服务在传输数据时使用的是明文协议(如HTTP、FTP、Telnet等),而非加密协议(如HTTPS、FTPS、SFTP等)。攻击者可在网络中进行,窃取用户凭证、会话令牌、个人数据等敏感信息。“verified”表示该问题已通过工具或手动测试确认,非误报。
SSL 安全问题及漏洞探讨
m0_57836225的博客
10-18 1272
SSL(Secure Socket Layer),即安全套接层,是一个位于 TCP/IP 协议与各种应用层协议之间的安全传输协议。它由 Netscape 研发,旨在保障 Internet 上数据传输的安全。通过利用数据加密技术,SSL 确保数据在网络传输过程中不会被截取,并且已被广泛应用于 Web 浏览器与服务器之间的身份认证和加密数据传输。
关于SSL漏洞
Jinhill's Blog
02-11 5614
关于SSL,相信你一定听过,SSL也就是Secure Socket Layer,是一种在Web会话双方和客户间实现安全会话的通讯协议。可以帮助会话双方建立信任关系,实现安全会话。要做到这些还需要结合证书机制,所以会话双发首先要从CA申请数字证书,然后用数字证书中的公钥建立信任关系,再用密钥加密要传输的数据。浏览器与WEB服务器之间再SSL的基础上建立应用层会话,通信协议为HTTPS。由于使用HTT
SSL/TLS 密码套件漏洞分析以及修复方法
qq_33163046的博客
10-28 1万+
本文深入分析 SSL/TLS 密码套件中常见的漏洞种类和修复方法。 通过对 SSL/TLS 密码套件漏洞的分析以及应用系统架构的阐述,我们明确了修复的方向和方法。根据架构的实际情况,修复的方法可以是修改 WAF、NGINX 配置、服务器端的 tomcat 设置以及针对 Windows 服务器的特定配置修复。修复后要及时验证是否已经修复成功。
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
本文将深入探讨*** Web应用程序中常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用中最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面中,当其他...
weblogic_tls及ssl漏洞修复方案
05-18
标题中的“weblogic_tls及ssl漏洞修复方案”是指一套旨在针对Oracle WebLogic服务器中TLS(传输层安全协议)和SSL安全套接层)相关安全漏洞的修复措施。TLS和SSL是广泛用于互联网通信加密的技术,能够保证数据...
安全漏洞通告」Fortinet SSL VPN远程代码执行漏洞解决方案
bocco的博客
12-14 1877
安全狗应急响应中心监测到,Fortinet发布了FortiOS SSL-VPN的风险通告,漏洞等级:高危,漏洞评分:9.3。漏洞编号:CVE-2022-42475。
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
12-30 26万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
SSL-TLS类安全漏洞及SLB安全漏洞问题
m0_59598029的博客
04-21 6840
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
linux 上SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 9647
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
SSL/TLS常见漏洞检测及修复方法
baidu_38844729的博客
03-26 1万+
漏洞介绍及修复方法 1.poodle漏洞 漏洞利用了SSLv3处理填充字节的方式(密码块链接)CBC操作模式,该缺陷允许中间人(MiTM)攻击者在少于256个SSLv3连接中解密密文的所选字节,攻击者可利用此漏洞绕过服务器加密机制直接获取用户数据。 修复方法:禁用sslv3.0协议 2.心脏滴血漏洞 (CVE-2014-0160) 主要出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是...
windows服务器ssl漏洞修复,Windows Server 2008或2012 修复CVE-2016-2183(SSL/TLS)漏洞的办法...
weixin_36447179的博客
08-12 3217
一、漏洞说明Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。例如如下漏洞:二、修复办法1、登录服务器,打开windows powershell,运行gpedit.msc,打开“本地组策略编辑器”。2、打开“本地组策略编辑器”-“计算机配...
脆弱的SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 9105
脆弱的SSL加密算法漏洞原理以及修复方法
Java安全解决方案详解与实践指南
针对常见的Web应用漏洞,Java安全解决方案也提出了多项应对措施。例如,在处理用户输入时必须进行严格的输入验证与输出编码,以防范SQL注入、跨站脚本(XSS)、命令注入等攻击。使用PreparedStatement代替Statement...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值