基于golang语言修复FRP TLS安全隐患 CVE-2016-2183，10天拿到腾讯网络安全岗offer

最新推荐文章于 2024-06-13 10:18:16 发布

2401_84139963

最新推荐文章于 2024-06-13 10:18:16 发布

阅读量1k

点赞数 17

分类专栏： 2024年程序员学习文章标签： golang web安全网络

本文链接：https://blog.csdn.net/2401_84139963/article/details/137435800

版权

2024年程序员学习专栏收录该内容

82 篇文章 0 订阅

订阅专栏

if tls_enable is true, frpc will connect frps by tls

tls_enable = true
tls_cert_file = /usr/local/frp_0.44.0/fastnet.cn.crt
tls_key_file = /usr/local/frp_0.44.0/fastnet.cn.key
tls_trusted_ca_file = /usr/local/frp_0.44.0/fastnet.cn_ca.crt
tls_server_name = fastfrp.fastnet.cn

frps: （服务器端）

tls_only specifies whether to only accept TLS-encrypted connections. By default, the value is false.

tls_only = true
tls_cert_file = /usr/local/frp_0.44.0/fastnet.cn.crt
tls_key_file = /usr/local/frp_0.44.0/fastnet.cn.key
tls_trusted_ca_file = /usr/local/frp_0.44.0/fastnet.cn_ca.crt

使用TLS加密以后虽然能够规避防火墙的安全检测，但是又被信息安全部门通报TLS协议存在安全漏洞，绿盟的扫描结果如下

通过研究frp的源码，发现TLS的配置在文件 pkg\transport\tls.go

在 NewServerTLSConfig 方法里面增加如下内容

if caPath != “” {
pool, err := newCertPool(caPath)
if err != nil {
return nil, err
}

base.ClientAuth = tls.RequireAndVerifyClientCert
base.ClientCAs = pool

//20240206 TLS CVE-2016-2183
base.MinVersion = tls.VersionTLS12
base.PreferServerCipherSuites = true
base.CipherSuites = []uint16{
tls.TLS_RSA_WITH_AES_128_GCM_SHA256,
tls.TLS_RSA_WITH_AES_256_GCM_SHA384,
tls.TLS_RSA_WITH_AES_128_CBC_SHA,
tls.TLS_RSA_WITH_AES_256_CBC_SHA,
}
}

在 NewClientTLSConfig 方法里面增加如下内容

if caPath != “” {
pool, err := newCertPool(caPath)
if err != nil {
return nil, err
}

base.RootCAs = pool
base.InsecureSkipVerify = false

//20240206 TLS CVE-2016-2183
base.PreferServerCipherSuites = false
base.MinVersion = tls.VersionTLS12
base.CipherSuites = []uint16{
tls.TLS_RSA_WITH_AES_128_GCM_SHA256,
tls.TLS_RSA_WITH_AES_256_GCM_SHA384,
tls.TLS_RSA_WITH_AES_128_CBC_SHA,
tls.TLS_RSA_WITH_AES_256_CBC_SHA,
}

} else {
base.InsecureSkipVerify = true
}

重新编译frp即可

go build -trimpath -ldflags “-s -w” -buildvcs=false -o bin/frps ./cmd/frps
go build -trimpath -ldflags “-s -w” -buildvcs=false -o bin/frpc ./cmd/frpc

效果检查：

修复前进行扫描：

root@armbian:~# nmap -sV -p 7000 --script ssl-enum-ciphers X.X.X.X
Starting Nmap 7.80 ( https://nmap.org ) at 2024-02-06 12:47 CST
Nmap scan report for X.X.X.X
Host is up (0.0060s latency).

PORT STATE SERVICE VERSION
7000/tcp open ssl/unknown
| ssl-enum-ciphers:

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

在这里插入图片描述

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**