阿里云的SLB的安全漏洞--TLS弱密码加密算法漏洞

最新推荐文章于 2024-08-22 20:34:43 发布
最新推荐文章于 2024-08-22 20:34:43 发布
阅读量3.2k 收藏
点赞数
分类专栏: 安全性测试 SSL/TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37268841/article/details/90715374
版权

     最近客户投诉说产品有TLS协议的低版本和弱密码的漏洞,本来我觉得直接到产品中修改就可以了,后来发现真的不是我想象的那样。因为产品因为性能通过阿里云的负载均衡SLB来控制这个TLS协议的。

1. TLS协议的可配置

通过上面的方式,可以进行配置上面的协议内容,但是发现上面的DES-CBC3-SHA ,但是找不到去掉这个弱密码的地方,测试了一下亚马逊云,发现112位弱密码已经彻底的从TLS协议中删除了,但TLS1.0弱协议还是存在的。

上面的表格可以看到AWS的这块加密协议根本没有112位的,同时可以进行可配置,但阿里的却不行。

提了工单给阿里云售后,给的回复是让我填写产品需求,但这明明是一个安全bug。

无语中,而且我问了即时填写了也是遥遥无期。

我看他这个漏洞到底什么时候能修复。。。。

如果对这个问题看的比较重,或者安全意识比较强的话,可选择AWS。。。

 

 

 

一杯咖啡的时间
关注
专栏目录
阿里云ACA认证学习(SLB&云上安全防护)
Aaron_Beck的博客
06-26 1717
目录SLB产品概要负载均衡SLB可以做什么SLB的特点SLB简介SLB核心概念SLB主要功能SLB主要操作SLB相关的问题后端ECS实例相关的问题在线实验:负载均衡使用初体验在线实验:高并发访问时流量分发和会话保持的实现云上安全防护互联网安全的形势及常见威胁2014年重要的安全事件事件一、1·21中国互联网DNS大劫难事件二、中国快递1400万信息泄露事件三、12306用户数据泄露事件四、OpenSSL心脏出血漏洞安全形势常见威胁阿里云安全体系及云盾概览阿里云云安全体系云盾的基础DDoS防护安全相关的概念D
关于阿里云SLB与WAF的TLS记录
Eric.zhong
06-25 1673
文章目录背景信息问题分析问题对应 背景信息 阿里云有一套企业官方网站,大致架构是WAF->SLB->Websites->RDS,可参考下图。 当前问题是客户需要做扫描测试,发现一些问题需要修复,其中涉及一项[TLS/SSL Sweet32 attack]是本文的关注点。 问题分析 [TLS/SSL Sweet32 attack]官方链接参考如下: weet32: Birthday attacks on 64-bit block ciphers in TLS and OpenVPN 那么简
beego禁用3DES和DES加密算法--SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】(二)
xiangjai的专栏
08-31 993
程序代码 nmap重新扫描
SSL/TLS协议信息泄露漏洞修复
最新发布
童龙辉的博客
08-22 1668
概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露的漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。
的SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 5789
的SSL加密算法漏洞原理以及修复方法
阿里云负载均衡部署/更换 SSL 证书
cbdg3757的专栏
08-14 692
作为一名画客户端界面的菜鸟,要管理后台,操作阿里云,确实有点太难了,进去一看完全是刘姥姥进大观园,大开眼界,眼花缭乱,兴奋不已,无所适从,不知所措。。。 老板转来短信[阿里云]尊敬的xxx@xxx.xxx您域名xxx.xxx.xxx使用的SSL证书xxxxxxxxxx还有3天过期xxxxxxxx,什么xxx完全看不懂,先进阿里云去看看吧,毕竟也是一名半专业人事,找到半天看到"SSL证书“就进去,里面果然大有洞天,上图吧 根据需求,选择免费付费,不多说,后成后续购买流程,会在证书列表添加刚才的
如何处理SSL/TLS协议中的已知漏洞
图幻未来的博客
12-24 604
*如何有效处理 SSL/TLS 协议中的已知漏洞?**随着互联网的快速发展,网络安全问题已经成为了人们关注的焦点。SSL(安全套接层)与 TLS(传输层安全)是互联网上保护数据通信安全的两种协议,它们为网络通信提供了加密和认证服务。然而,这两种协议本身也存在一定的漏洞,如果对这些漏洞不能有效地进行处理和管理,将会导致严重的后果。本文将针对这些问题进行分析并提出相应的解决方案。
阿里云 专有云企业版 V3.5.2 负载均衡SLB 产品简介 - 20180831.pdf
05-27
阿里云专有云企业版 V3.5.2 负载均衡SLB】是阿里云为企业级用户设计的一款高效、稳定、智能的负载分发服务。此产品旨在优化云计算资源的使用,提高应用的可用性和响应速度,同时确保业务的连续性和安全性。 **1. ...
阿里云 专有云Enterprise版 V3.5.0 负载均衡SLB 技术白皮书 - 20180710.pdf
06-15
- 安全防护:支持SSL/TLS加密,提供DDoS防护,增强数据安全。 - 流量控制:可以设定限速、流量阈值,防止过载。 - 日志管理:提供访问日志记录,便于分析和调试。 4. **使用注意事项**: - 用户在阅读和使用...
ssl加密算法套件检测工具
01-18
该工具适用于安全渗透测试人员,可以用来检测加密算法套件
阿里云 专有云企业版 V3.12.0 应用高可用服务 安全白皮书 20200617.pdf
05-25
阿里云采用先进的加密算法,如AES(Advanced Encryption Standard)和SSL/TLS(Secure Sockets Layer/Transport Layer Security),确保数据在静态和动态状态下的安全性。 3. **访问控制**: - 阿里云提供了精细的...
阿里云运维技术分享
qq_57558631的博客
05-12 2696
先看一张图,我们的服务运行都需要什么 云网络 虚拟专用网络VPC 阿里云登录 - 欢迎登录阿里云,安全稳定的云计算服务平台 VPC(Virtual Private Cloud)一个虚拟私有网络环境,连接云上所有网络设备 包括网关、虚拟路由器、虚拟交换机以及连接的各种云资源,与真实网络环境是一样的 VPC对外连接 网络连接基本信息 网段与子网掩码说明,每一个设备都会占用一个IP 子网网段常见以下几个网段 当前我们用到的网段范围如下: 办公网:192.168.0.0/24..
2. 漏洞复测系列 -- SSH 支持加密算法漏洞(SSH Weak Algorithms Supported)
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
【中危】启用了不安全的TLS1.0、TLS1.1协议
热门推荐
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
服务器支持低版本SSL/TLS协议 支持SSL密码套件
weixin_45596492的博客
03-24 7171
服务器支持低版本SSL/TLS协议 漏洞描述 在测试中发现服务器支持低版本的 TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。 漏洞影响 TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看: https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/ 修复建议 可参考如下链接进行配置:
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
rainjm的博客
01-11 4216
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
SSL证书加密套件常见密钥以及修复建议
SSL加密技术
11-02 6002
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
的SSL加密算法问题
发哥微课堂
09-07 7074
0x00:漏洞介绍 脆的 SSL 加密算法也可以叫它 openssl 的 FREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低,就会存在这个 SSL 加密问题。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3...
TLS加密体系
努力变得不菜的菜鸡的博客
07-28 1万+
谈到这个词,可能大家的第一印象就是加密,而对TLS了解甚少。那么在介绍 TLS 加密体系之前先来讲一讲加密。 一提到加密,可能很多人脑海中会浮现出电视剧里特务的场景,他们拿出一台电报机,“滴滴滴滴”按下情报报文,接收方带着耳机,紧张的记录下对方发来的情报;然后拿出密码本(通常是一本书甚至是一本地图),进行信息的解密工作。他们将信息进行加密的目的 就在于让无关者无法获取到信息。因为一旦机密信息泄露,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值