SSL/TLS 存在Bar Mitzvah Attack漏洞(CVE-2015-2808)
详细描述 | 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 |
解决办法 | 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS配置中禁止RC4。 |
检测方式:
这里使用PentestBox自带的openssl进行检测(PentestBox官网:https://pentestbox.org/zh/)
打开pentestBox,输入cmd进行跳转(出于对windows10兼容的原因)
输入命令:
openssl s_client -connect IP:PORT -cipher RC4
如果看到连接握手成功,可以看到证书信息则说明存在该风险漏洞
如果你看到”alert handshake failure”这句话就说明该网站是安全的
在线测试地址:
也可以利用 SSL Server Test — 安全测试工具 去测试下你的 HTTPS 是否存在风险.
https://www.ssllabs.com/ssltest/index.html
具体解决方案:
1.禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
需要重启apache服务
/etc/init.d/httpd restart
访问查看效果:
2.关于nginx加密算法
1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5
0.8.19版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本,
默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或没注释的可以直接修改域名下ssl相关配置为
ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA
256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA
256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA
256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:
ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
ssl_prefer_server_ciphers on;
需要nginx重新加载服务
/etc/init.d/nginx reload
访问查看效果:
或者是在线检测是否修复完成:
0x06浏览器手工屏蔽方案
默认当apache开启RC4优先加密算法时,Chrome浏览器访问结果如下:
Windows 用户:
1)完全关闭 Chrome 浏览器和Mozilla Firefox浏览器
2)复制一个平时打开 Chrome 浏览器(Mozilla Firefox浏览器)的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令
–cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
0x0004 对应 RSA-RC4128-MD5,
0x0005 对应 RSA-RC4128-SHA,
0xc011 对应 ECDHE-RSA-RC4128-SHA,
而最后的 0xc007 对应 ECDHE-ECDSA-RC4128-SHA。
这样就可以將 RC4 禁用掉。
Mac OS X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google Chrome.app/Contents/MacOS/Google Chrome –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
Linux 用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
参考地址:https://blog.csdn.net/xysoul/article/details/50069579