Tomcat6/7应用服务器-禁用RC4等弱密码套件

最新推荐文章于 2024-04-21 10:30:00 发布
最新推荐文章于 2024-04-21 10:30:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 莴笋笔记 文章标签: tomcat web安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37219543/article/details/119539151
版权

Tomcat6/7应用服务器-禁用RC4等弱密码套件


密码套件根据Tomcat应用服务器和jdk使用。修改conf\server.xml文件配置的sslEnabledpotocols、ciphers
sslEnabledpotocols的值一般为:TLSv1,TLSv1.1,TLSv1.2

  • Java6 + Tomcat6/7 的ciphers
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_RC4_128_SHA,
TLS_ECDH_RSA_WITH_RC4_128_SHA,
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA
  • Java7 + Tomcat6/7 的ciphers
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,
TLS_ECDH_ECDSA_WITH_RC4_128_SHA,
TLS_ECDH_RSA_WITH_RC4_128_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_EMPTY_RENEGOTIATION_INFO_SCSVF
  • Java8 + Tomcat6/7 的ciphers
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,
TLS_ECDH_ECDSA_WITH_RC4_128_SHA,
TLS_ECDH_RSA_WITH_RC4_128_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_EMPTY_RENEGOTIATION_INFO_SCSVF

Tomcat 7+ jdk7 的密码套件配置示例:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
 connectionTimeout="20000" 
 maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
 clientAuth="false" sslProtocol="TLS" 
 keystoreFile="E:/tomcat/demo/apache-tomcat-7.0.109/conf/keystore/n.keystore" keystorePass="pwd" 
 sslEnabledpotocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSVF" />

参考资料来源于:https://support.comodo.com/index.php?/Knowledgebase/Article/View/659
但其实这个资料里面Java 7 的有一个坑(其他未验证),就是配置之后还依然能看到弱密码套件,如图:
在这里插入图片描述
可以看到包含了:TLS1_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA这个弱面套件,需要在ciphers里面把这个套件去掉,再重启Tomcat服务,验证发现已经没有弱密码套件了,如下图:
在这里插入图片描述
附:检测端口使用弱密码套件方法:
https://nmap.org/download.html
在这里插入图片描述
下载安装Nmap或者使用下方的解压版,成功后使用CMD到安装路径C:\Program Files (x86)\Nmap执行命令:

nmap -sV --script ssl-enum-ciphers -p 8443 IP地址
蛋肠不要葱
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat禁用RC4的方法
12-14
禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码
openssl密码套件详解
humanhaunt的博客
09-24 9155
说起加密套件(CipherSuite)这个词可能会比较陌生,但是说起ssl/tls可能就是一个众所周知的词汇了,我们知道ssl/tls是经常被用在http协议上以使http协议升级为安全的https协议,ssl协议呢也有自己的握手协商的过程,而这个握手协商的过程呢。就会使用到很多的加密算法,MAC算法,认证算法等等,而加密套件呢就可以理解为是这一些列密码算法的打包形式,其实密码算法的实现有很多,但是目前最主流的实现还是openssl,该文是以openssl来讲解的,有兴趣的可以了解一下其他的实现。 先说用法
SSL-TLS类安全漏洞及SLB安全漏洞问题
最新发布
m0_59598029的博客
04-21 1780
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
Tomcat禁用SSLv3和RC4算法
tengtianshan的专栏
03-19 2389
1.禁用SSLv3(SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,7.0及之前版本默认应如下: <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 2593
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
禁用3DES和DES加密算法,保证SSL证书安全
热门推荐
weixin_39724395的博客
01-03 3万+
apache服务器禁止使用3DES加密算法,在server.xml中添加配置
apache-tomcat-7.0.68/apache-tomcat-8.5.35/apache-tomcat-9.0.13
03-28
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台...
apache-tomcat-7.0.108(UTF8).zip
06-11
tomcat-7.0.108"后,你会得到包括bin、conf、lib、logs、webapps、work等目录,每个目录都有特定的作用,比如bin目录用于存放可执行脚本,conf目录存储服务器配置文件,lib包含运行所需JAR库,webapps是部署Web应用...
OTA服务器搭建tomcat-7-amlogic.-android
06-07
在构建一个针对Android设备的OTA(Over-the-Air)更新服务器时,选择使用Tomcat作为Web服务器是一个常见的选择。Tomcat是Apache软件基金会的Jakarta项目中的一个开源Java Servlet容器,它支持JavaServer Pages (JSP)...
tomcat暴破图形化---绕过tomcat 6/7/8的防暴破机制
12-19
tomcat 6/7/8 自带防暴力破解机制,通过塞满cache,挤出已锁定账号,实现完美绕过。
tomcat cipher suiters ssl加密套件配置
w1213096890的博客
03-09 8268
背景知识cipher 是由服务进行端选择的。服务端选择之前会和客户端进行协商,优先选择客户端支持的cipher。如果客户端支持的cipher都不被服务端支持,则通信异常。Tomcat设置cipher的方法为:在server.xml中SSL connector中的ciphers字段中设置相应的套件Tomcat7.0支持设置cipher的优先顺序,但需要Tomcat 7.0.60以上版本及JAVA ...
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
spring_is_coming的博客
05-26 7031
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
加密解密(RC4)
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
08-29 1515
RC4算法的原理是通过将一个密钥和一个初始化向量经过KSA(Key Scheduling Algorithm)(密钥调度算法)生成一个长度为256个字节的密钥流,然后将明文与密钥流逐字节异或,得到密文。RC4算法在一些安全性方面存在一些问题,因此在实际应用中,建议使用更加安全的加密算法,如AES算法。互联网通信:RC4算法可以用于保护互联网通信的安全性,例如SSL/TLS协议中的RC4加密套件。数据加密:RC4算法可以用于对数据进行加密,例如文件加密、数据库加密等。
TOMCAT漏洞修复】主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)-RC4密码套件
百川东到海,何时复西归
11-21 3811
网上转了一圈,关于这个漏洞的修复方法大多数是错的。 现贴上验证过的修复方式。 修复方式:禁用RC4算法。 编辑TOMCAT/conf/server.xml文件中的 <Connector port="8443"节点,更新以下属性的值 SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_EC...
服务器端禁止使用RC4加密算法。SSLv3存在严重设计缺陷漏洞
iiiiiiiiiiii9的专栏
07-13 3万+
http://www.heminjie.com/network/2132.htmlIIS:请参考:http://support2.microsoft.com/kb/187498/en-us  或:http://support2.microsoft.com/kb/187498/zh-cn进行手工修复,或者使用fix it向导进行修复。 修改完后,Linux重启Web服务即可,Windwos需要重新启...
【SSL3.0 POODLE攻击信息泄漏漏洞(CVE-2014-3566)】【SSL/TLS 受诫礼攻击漏洞(CVE-2015-2808)】
wei_jie_zhang的专栏
10-09 1万+
对于IIS修补 将下面的内容保存为fix.reg,并双击运行来修改注册表: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]"Enabled"=dword:000000
5分钟内搞定 Tomcat 的 SSL 配置
待到秋来九月八,我花开后百花杀。
09-28 585
本教程使用 JDK 6 和 Tomcat 7,其他版本类似。基本步骤:使用 java 创建一个 keystore 文件 配置 Tomcat 以使用该 keystore 文件 测试 配置应用以便使用 SSL ,例如 https://localhost:8443/yourApp 1. 创建 keystore 文件执行 keytool -genkey -alias tomcat -keyalg R
java 限制https_优雅处理HTTPS中的证书问题
weixin_29073241的博客
02-27 817
Java中HTTPS会遇到的问题访问自签名的HTTPS网站高版本JRE访问SSLv3/SSLv2站点一些银行接口需要加载keystore的场景* 如果要了解SSL历史也可以看看这篇文章。1 访问自签名的HTTPS网站常常看到的回答是直接通过信任所有来支持, 这不优雅; 优雅的操作应该:下载服务端的CA证书# 方式1: 导出DER格式的证书# 这里需要通过指定servername来保证导出的证书和当...
Using CATALINA_BASE: /Users/shenglei/Desktop/apache-tomcat-10.1.11 Using CATALINA_HOME: /Users/shenglei/Desktop/apache-tomcat-10.1.11 Using CATALINA_TMPDIR: /Users/shenglei/Desktop/apache-tomcat-10.1.11/temp Using JRE_HOME: /Library/Java/JavaVirtualMachines/jdk-17.jdk/Contents/Home Using CLASSPATH: /Users/shenglei/Desktop/apache-tomcat-10.1.11/bin/bootstrap.jar:/Users/shenglei/Desktop/apache-tomcat-10.1.11/bin/tomcat-juli.jar Using CATALINA_OPTS:
07-21
使用的CATALINA_BASE目录是:/Users/shenglei/Desktop/apache-tomcat-10.1.11 使用的CATALINA_HOME目录是:/Users/shenglei/Desktop/apache-tomcat-10.1.11 使用的CATALINA_TMPDIR目录是:/Users/shenglei/Desktop/apache-tomcat-10.1.11/temp 使用的JRE_HOME目录是:/Library/Java/JavaVirtualMachines/jdk-17.jdk/Contents/Home 使用的CLASSPATH是:/Users/shenglei/Desktop/apache-tomcat-10.1.11/bin/bootstrap.jar:/Users/shenglei/Desktop/apache-tomcat-10.1.11/bin/tomcat-juli.jar 使用的CATALINA_OPTS参数是:(此处为空,没有指定任何参数) 请注意,以上信息是Tomcat服务器配置相关的环境变量和参数设置,如果您有其他问题或需要进一步帮助,请随时告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值