Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路

已于 2022-11-28 16:42:49 修改
阅读量2.8k 收藏 6
点赞数 2
分类专栏: linux系统运维 文章标签: nginx ssl https
于 2022-05-24 10:32:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/124942317
版权 
1.扫描

nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com

nmap --script="ssl-enum-ciphers" -sS -Pn -p 443  www.baidu.com

sslscan  www.baidu.com

git clone --depth 1 --branch 2.9.5 https://github.com/drwetter/testssl.sh.git

./testssl.sh --quiet www.baidu.com

./testssl.sh -c --quiet --html www.baiud.com

./testssl.sh -c --quiet --log www.baidu.com

./testssl.sh --quiet -U www.baidu.com

参数说明:

-b,-v:这2个是显示版本的testssl自身的信息
-V:输出现有的本机密码套件列表
-t(--startssl):指明要测试的协议:
https ,ftp,smtp,pop3,imap,xmpp,telnet,ldap,postgres,mysql,
其中 telnet,ldap,postgres ,mysql 这4个协议要指定openssl
--mode < serial| parallel> 模式,默认是串行模式,若多核CPU大规模测试可选并行
--parallel:选项启用并行测试 (默认是串行),等同于 --mode parallel
-e:测试每个密码套件
-E:测试每个协议(SSL2 SSL3 TLS1 TLS1.1 TLS1.2
)
-s (--std):测试加密强度很高的一些密码套件
-p(--protocols ) :测试每个TLS与SSL协议 并且检测 spdy 与 http2
-S:测试并显示服务器端证书信息
-P:测试并显示服务器偏好(也就是服务器优先配置的TLS协议和密码套件)
-x( --single-cipher <pattern> ): 指定一个密码套件,也就是测试一下是否支持指定的这个套件
-c:测试客户端支持情况
-h (--header):测试是否支持 HSTS, HPKP, cookie ,ipv4 ,代理 ,安全头部等
-U:测试所有的漏洞

所有漏洞
-H, --heartbleed:tests for Heartbleed vulnerability
-I, --ccs, --ccs-injection:tests for CCS injection vulnerability
-T, --ticketbleed:tests for Ticketbleed vulnerability in BigIP loadbalancers
-R, --renegotiation:tests for renegotiation vulnerabilities
-C, --compression, --crime:tests for CRIME vulnerability (TLS compression issue)
-B, --breach:tests for BREACH vulnerability (HTTP compression issue)
-O, --poodle:tests for POODLE (SSL) vulnerability
-Z, --tls-fallback:checks TLS_FALLBACK_SCSV mitigation
-W, --sweet32:tests 64 bit block ciphers (3DES, RC2 and IDEA): SWEET32 vulnerability
-A, --beast:tests for BEAST vulnerability
-L, --lucky13:tests for LUCKY13
-F, --freak:tests for FREAK vulnerability
-J, --logjam:tests for LOGJAM vulnerability
-D, --drown:tests for DROWN vulnerability
-f, --pfs, --fs, --nsa:checks (perfect) forward secrecy settings
-4, --rc4, --appelbaum:which RC4 ciphers are being offered?

-6:支持ipv6
--ip [one]: 直接测试ip所指向的地址,不使用DNS解析出来的ip地址; 参数one 是指使用NDS解析返回的第一个IP地址,因为很多站点会有多个IP,那么会重复测试多次。
-n (--nodns) :不使用DNS
--sneaky:在服务器端少留痕迹
--quiet:不输出banner
--fast:只显示第一个密码套件 与-P 合用
--log:输出文档(有默认名称)
--logfile:指定一个输出文档
--json:json格式的文档 (有默认名称)
--jsonfile:指定一个json格式文档
--csv:csv格式的文档 (有默认名称)
--csvfile:指定一个csv 格式文档
--html:html 格式文档 (有默认名)
--htmlfile:指定一个html文档
--append:允许追加

2.nginx ssl配置

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;



# 扫描SSL漏洞问题的主机 一个段

Heartbleed测试:nmap -sV -p 443 --script=ssl-heartbleed 192.168.1.0/24

k8s组件相关漏洞修复方案

K8S组件SWEET32 CVE-2016-2183漏洞修复方案 —— 筑梦之路_筑梦之路的博客-CSDN博客

筑梦之路
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IISCrypto修改ssl加密工具.zip
07-01
IISCrypto修改ssl加密工具,可以在线检测网站的SSL证书是否安全,是否存在漏洞,是否达到ssL行业标准,符合苹果ATS规范,能否通过微信小程序安全要求。同时提供证书格式转换,CSR,证书链,SSL配置生成等。
Let‘s Encrypt+nginx漏洞 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
wo240的专栏
12-18 5361
根据漏洞扫描的提示查看官网给出的解释,如下: SWEET32 Mitigation (CVE-2016-2183) SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In mitigation for the SWEET32 attack DES based ciphersuites have been moved from the HI
漏洞SSL 64位块大小的密码套件(SWEET32)【原理扫描
spring_is_coming的博客
05-26 4752
漏洞SSL 64位块大小的密码套件(SWEET32)【原理扫描
2024年网络安全最全nginx 安全漏洞 (CVE-2024-23017)(1),2024年最新腾讯T3大牛亲自讲解
最新发布
2401_84281703的博客
05-11 1029
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 997
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
Sweet32漏洞,升级openssl或者禁用3DES和DES弱加密算法
u010674101的专栏
09-27 8427
解决办法有两个,一个是升级OpenSSL 1.0.2k-fips 26 Jan 2017 以上,另外一个是更新nginx配置,禁用3DES和DES弱加密算法。本次介绍第二种方法,更新nginx配置禁用3DES和DES弱加密算法,然后nginx -s reload即可。如何不喜欢使用nmap,也可以使用如下工具testssl.sh,但是输出的内容太多了,本次我只截取部分。第一个比较麻烦,影响面积比较广,centos7 上,大多数教程都是需要自行编译,影响线上环境。由于等保的原因,被服务商扫描漏洞
SSL Medium Strength Cipher Suites Supported (SWEET32) 支持SSL中等强度密码套件(SWEET32)中危漏洞
小小关的博客
08-26 3932
Nessus将中等强度视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密套件。修改 /usr/local/apache2.4.39/conf/httpd.conf。nginx修复方法修改/etc/nginx/conf.d/ssl.conf文件。然后重载服务器配置:service nginx restart。远程主机支持使用提供中等强度加密的SSL密码。如果是apache 的话。...
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 6944
nessus漏扫的漏洞修复
SSL/TLS类安全漏洞及SLB安全漏洞问题
qq_38254635的博客
12-27 1万+
SSL/TLS类安全漏洞及SLB安全漏洞问题
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
nginx和tomcat配置SSL和负载均衡配置
04-15
nginx和tomcat配置SSL和负载均衡配置,
CentOS 6.7下nginx SSL证书部署的方法
01-10
# ls /opt/nginx/conf/ssl qingkang.me.crt # 公钥 qingkang.me.key # 私钥 配置 vim nginx.conf 找到以下内容 # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert....
Vue项目部署Nginx配置文件 SSL
08-11
Vue项目结果build编译后,放在Nginx的html文件夹内,替换该配置文件,就可以在Nginx服务器上运行Vue项目
一键脚本自动生产nginxssl证书
11-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/121617919 说明: 1、证书文件格式为pem和key 2、适用于大量自签证书场景 3、支持域名和ip两种方式
traefik TLS/SSL 修复sweet32漏洞 [安全加固]——筑梦之路
筑梦之路
03-01 1334
之前已经写过关于nginx K8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
kubernetes的etcd、kubelet和kube-api CVE-2016-2183 漏洞解决
wisheen的专栏
08-15 3355
kubernetes etcd kubelet kube-api CVE-2016-2183 漏洞解决
SSL中等强度密码套件(SWEET32);SSL 64位块大小密码套件支持(SWEET32)
慢谈人生
10-06 3777
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 21万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
Sweet32: TLS 64位分组密码生日攻击(CVE-2016-2183)
weixin_39078334的博客
12-16 1万+
客户服务器被发现Sweet32,经过检查,都是受DES/3DES影响导致的,解决办法就是禁用了DES/3DES。 验证方式:nmap -sV --script ssl-enum-ciphers -p 443 test.com 以下是我从网络上找到的一些信息: 概述 分组密码在SSL/TLS协议中的特定配置会遭到碰撞攻击。 背景 传统64位块分组密码在使用CBC模式时很容易被碰撞攻击。SSL/TLS协议所有支持使用3DES对称加密的密码套件都受影响(例如 ECDHE-RSA-DES-CBC3-S...
nginx ssl配置_Nginx高并发系列之二——Nginx开启ssl模块
05-13
Nginx是一款高性能的Web服务器软件,它支持SSL/TLS协议,可以为Web应用程序提供安全的访问。本文将介绍如何在Nginx上开启SSL模块,并配置SSL证书,使得Web应用程序支持HTTPS访问。 1. 安装SSL模块 在编译Nginx的时候,需要开启SSL模块。可以在编译选项中加入--with-http_ssl_module参数来开启SSL模块。如果使用的是预编译的二进制包,可以通过查看nginx.conf文件来确定是否开启了SSL模块。如果存在以下配置项,则说明SSL模块已经开启。 ``` listen 443 ssl; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; ``` 2. 配置SSL证书 SSL证书用于加密网站和客户端之间的通信,防止敏感信息在传输过程中被窃取。可以购买SSL证书,也可以使用免费的证书,例如Let's Encrypt。 在配置SSL证书之前,需要先生成证书和私钥。可以使用如下命令生成自签名证书和私钥。 ``` openssl req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 365 -out server.crt ``` 生成的server.key和server.crt文件分别是私钥和证书。接下来,需要将证书和私钥拷贝到Nginx配置文件所在的目录。 ``` cp server.crt /etc/nginx/ cp server.key /etc/nginx/ ``` 然后,在Nginx配置文件中添加以下配置项,指定证书和私钥的路径。 ``` ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ``` 3. 配置SSL协议和加密算法 在Nginx配置文件中,可以配置SSL协议和加密算法。可以使用如下配置项指定SSL协议。 ``` ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ``` 可以使用如下配置项指定加密算法。 ``` ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; ``` 4. 配置HTTPS监听端口 在Nginx配置文件中,可以使用如下配置项开启HTTPS监听端口。 ``` server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; location / { # 配置Web应用程序的根目录 root /var/www/html; index index.html; } } ``` 在以上配置中,listen 443 ssl指定了HTTPS监听端口,并且ssl_certificate和ssl_certificate_key指定了SSL证书和私钥的路径。location /用于配置Web应用程序的根目录。 5. 重启Nginx服务 完成以上配置后,需要重启Nginx服务,使得配置生效。 ``` service nginx restart ``` 通过以上步骤,就可以在Nginx上开启SSL模块,并配置SSL证书,使得Web应用程序支持HTTPS访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值