AppScan 检测到 SHA-1 密码套件

已于 2022-04-29 22:49:10 修改
阅读量2.4k 收藏 7
点赞数 1
分类专栏: Java开发 文章标签: 安全报告
于 2022-04-14 13:25:36 首次发布
个人博客地址:https://wuliqun.cn/ 所有博客内容由本人拥有
本文链接:https://blog.csdn.net/liqun_super/article/details/124169676
版权

检测到 SHA-1 密码套件


 listen 443 ssl;-----------------------------------------------------域名端口
     server_name *****.com;    -------------------------------------域名地址
     ssl_certificate      ***.com.pem;-------------------------------证书
     ssl_certificate_key  ****.key;   --------------------------------密钥
     ssl_session_cache    shared:SSL:1m;
     ssl_session_timeout  5m;
     ssl_ciphers  HIGH:!aNULL:!SHA:!MD5;-------------------限制密码套件
     ssl_prefer_server_ciphers  on;
     ssl_protocols TLSv1.2;----------------------------------------限制协议
     location /  {
	      proxy_set_header Host $host;
	      proxy_set_header X-Forwarded-Proto https;
	      proxy_connect_timeout 120;
	      proxy_read_timeout 120;
	      proxy_send_timeout 120;
	      proxy_pass http://127.0.0.1;
	}

采用白名单的方式来处理

ssl_ciphers  ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
故里明月
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AppScan-Standard-v10.5
07-25
appscan 安全扫描工具、web漏洞扫描
IBM AppScan安装和激活-附件资源
03-02
IBM AppScan安装和激活-附件资源
AppScan漏洞风险处理
qq_32590535的博客
06-19 2844
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
appscan扫描修复记录(一)
猩猩林
06-25 844
1. 加密会话(SSL)Cookie 中缺少 Secure 属性(解决) 在nginx中设置cookie属性,在配置文件中server模块设置:add_header Set-Cookie “Secure”; 利用fiddler抓包,查看请求响应中cookie是否包含secure属性 2. 检车到rc4密码套件(解决) rc4是弱密码套件,可以在ngnix配置文件中禁用该弱密码套件 ngnix...
nginx 漏洞修复
热门推荐
趴着的猫的博客
03-21 1万+
nginx
SHA-1(Secure Hash Standard)
weixin_40191861的博客
07-13 215
SHA-1 SHA-1(英語:,中文名:安全散列算法1)是一种密码散列函数,美国国家安全局设计,并由美国國家標準技術研究所(NIST)发布为聯邦資料處理標準(FIPS)[3]。SHA-1可以生成一个被称为消息摘要的160位(20字节)散列值,散列值通常的呈现形式为40个十六进制数。 SHA-1 概述 设计者 美国国家安全局 首次发布 1993年(SHA-0) 1995年(SHA-1)
java 使用Apache codec 实现sha1加密
大猩猩的博客
12-16 584
Maven Repository地址 https://mvnrepository.com/artifact/commons-codec/commons-codec/1.10 <!-- https://mvnrepository.com/artifact/commons-codec/commons-codec --> <dependency> <grou...
解决IBM Security AppScan扫描出现检测到RC4密码套件问题
weixin_34088583的博客
03-21 455
近期在使用IBM Security AppScan Standard扫描网站时,在生成的报告中有出现以下问题(检测到RC4密码套件及针对SSL/TLS的浏览器使用又名BEAST)操作系统:Oracle Linux 6.1中间件:Apache-Tomcat-7.0.67问题截图如下:检测到RC4密码套件针对SSL/TLS的浏览器使用(又名BEAST)针对上述两个问题,在t...
IBM AppScan 安全扫描:支持弱 SSL 密码套件
sunny_happy08的博客
10-12 5527
IBM AppScan 安全扫描:支持弱 SSL 密码套件 解决方法: 1.Server 2008(R2) 根据appScan的修订建议访问地址:http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx 里面说了如何修改SSL 密码套件的优先级和状态,里面有一堆的加密方式,很难知道哪些该保留...
ngnix 漏洞修复文档
03-03
ngnix 漏洞修复文档
一个超级好用的windows服务器安全管理工具——IISCrypto
09-29
IIS Crypto软件是一款专门为电脑服务器打造的智能管理工具,使管理员能够在Windows Server 2008、2012和2016上启用或禁用协议、密码、散列和密钥交换算法。用户可以通过软件对服务进行各类密码以及相关协议的重置,帮助用户轻松管理IIS安全,使用更加方便,它还允许您重新排序IIS提供的SSL/TLS密码套件! IIS加密需要Windows Server 2008和。Net 4.0框架或更高版本;GUI和命令行版本都可用。 该软件需要在 .Net 环镜下才能运行,需要安装NET Framework 4.0
AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本
最新发布
07-22
MFA-安全问题回复:在回放登入期间以及自动探索期间,AppScan检测需要安全问题值的字段,并设定正确的答案。 UX更新:包括非漏洞信息查看、变体表的多重选择、排序和更改列宽等功能。 扫描策略更新:提供了更灵活...
APPScan基础扫描-技术手册》
11-08
用户需要检查输入的账号和密码是否正确,并确认没有启用网络代理软件(如Fiddler或Charles)干扰扫描过程,因为这些工具可能会影响AppScan的会话跟踪能力。 若需修改配置,用户可以在扫描设置菜单中进行调整。这...
appscan-codesweep-action:将静态安全测试与HCL AppScan CodeSweep与Github集成
04-17
HCL AppScan CodeSweep Github操作 使用HCL AppScan CodeSweeep Github Action可以阻止不安全的代码到达您的存储库。 当添加到新的或现有的Github工作流中时,此操作将对所有已修改和已添加的代码行进行安全扫描。 ...
如何解决引入第三方库的时候出现的SHA-1等问题快速解决方案
LGGisKing的专栏
04-01 1492
首先点击你的工程,并移除,接着 移除V4支持包 接着以同样的步骤移除第三方库资源的V-4 接着去你的开发工具中拷贝一份复制分别到你的工程和第三方库中的libs目录下,并build -path 最后引入库你的第三方库到你的工程中,解决SHA-1的问题
配置类安全问题学习小结
dayouzi的博客
09-06 7126
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
Linux+Nginx+SSL(Https) 去Server响应头后 网页显示源码
l1179237106的博客
11-11 1645
解决办法1:去官网下载对应版本的nginx压缩包到服务器上,解压后修改ngx_http_header_filter_module.c文件。解决办法1:使用TLS v1.1 和 v1.2 ,目前他们已知的安全问题,只有 v1.2 提供了现代的加密算法。修改完成后重新编译安装nginx,这个步骤自己查一下,本人是把必要的原配置备份好后直接重新安装上传配置的方便。方法的话,一定要去掉,不然就会引起访问https时,网页无法正常显示,直接显示源码。解决方法2:SSL 和 TLS 部署最佳实践:使用安全密码套件
安全漏洞-https安全证书引发的一些问题
qq_36712606的博客
04-06 363
改不了,找运维,等死吧 加密会话(SSL)Cookie 中缺少 Secure 属性 给设置的cookies加secure属性,也可以找运维修改----很有可能导致报错 secure为true报错的原因---可以参考一下 ctx.cookies.set('com_AStip', jmUserId, { maxAge: 24 * 3600 * 1000 * 7, //保存七天 ...
AppScan 检测到“Access-Control-Allow-Origin”头的许可权太多
05-09
"Access-Control-Allow-Origin"是一种用于跨域资源共享(CORS)的HTTP响应头,它指定了哪些网站可以访问该资源。当一个网站被允许访问时,可以使用这个网站的凭证(如cookies)来获取该资源。但如果这个头部设置得太宽泛,就会导致安全问题,例如跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。AppScan可以检测到这种问题,并给出相应的建议。 如果"Access-Control-Allow-Origin"头部设置得太宽泛,那么攻击者可以在其他网站上使用您的资源。因此,建议将这个头部的值限制为只有必要的网站才能访问,以防止潜在的攻击。可以通过设置相应的服务器配置或应用程序代码来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故里明月

感谢大大的打赏,俺会继续努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值