漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件

最新推荐文章于 2023-11-30 17:48:02 发布
最新推荐文章于 2023-11-30 17:48:02 发布
阅读量2.3k 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41172950/article/details/106123487
版权

4月底展开的护网前期准备工作–端口渗透的漏洞结果
通报主机apache-tomcat-7.0.85 存在 不安全的ssl证书,相关问题需要修复整改

漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件。

目前处理办法:
server.xml中替换为以下代码

<Connector port="8099" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/mas/boliya/ssl/seer.jks" keystorePass="HjwJ200" URIEncoding="utf-8"
           sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
        TLS_RSA_WITH_AES_128_CBC_SHA,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
        TLS_RSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
        SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"/>
xuhuaping_1988
关注
CBC.rar_CBC DES_DES CBC_cbc_cbc模式加密_密码
07-15
**在实际应用中,CBC模式常用于SSL/TLS协议、IPSec协议等,以保护网络通信的安全。但由于DES的密钥长度较短,现代加密系统通常使用更强的算法如AES,并可能结合其他模式,如CFB(Cipher Feedback)或OFB(Output ...
实施针对 TLS_FALLBACK_SCSV 的支持。禁用 SSLv3 支持
BabyFace゛‐尐蔡。的博客
02-01 8456
如果需要 SSLv3,请在 SSLv3禁用 CBC 密码套件. 如果需要 CBC 密码套件,请将服务器设置为在 SSLv3 中首选 RC4 密码套件,而不是 CBC 密码套件。   实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3CBC 模式操作的所有密码套件。 这个说法是让我们启用TLS_FALLBACK_SCSV禁用S
关于fallback_scsv的学习记录
qq_31539845的博客
11-30 1177
如果ClientHello.cipher_suites中出现TLS_FALLBACK_SCSV,并且服务器支持的最高协议版本高于ClientHello.client_version中指示的版本,则服务器必须以致命的illegal_fallback警报作出响应(除非它由于致命的protocol_version警报而响应,因为版本号为 ClientHello.client_version不受支持)。server(支持SSLv3:TLSv1:TLSv11:TLSv12:TLSv13:SM2v11)
用于防止协议降级攻击的TLS备用信号加密套件值(SCSV),RFC7507
Joe's Blog
08-29 3075
为了解决传统服务器的互操作性问题,许多TLS客户端实现不依赖于TLS协议版本协商机制,而是在初始握手尝试失败时有意使用降级协议重新连接。这样的客户端可能会退回到它们宣布版本低至TLS 1.0(或甚至其前身的安全套接层(SSL)3.0))的连接,作为最高支持版本。 虽然这种后备重试可能是与实际遗留服务器连接的有用的最后手段,但主动攻击者可能会利用降级策略来削弱连接的加密安全性。此外,由于网络故障引
SSL证书加密套件常见弱密钥以及修复建议
SSL加密技术
11-02 5976
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
复现awvs——POODLE 攻击(带 CBC 密码套件SSLv3—CVE-2014-3566)
记录并分享学习安全的知识点..
12-29 1951
1.首先通过awvs对网站进行扫描如下: 2.通过一种工具github中开源工具testssl进行复现,先进行下载,我这边下载好了,有需要的去我百度云盘下载链接:https://pan.baidu.com/s/1V-TbIVsC541D8yEmEkppWA 提取码:需要的评论区扣1,私发 3.下面就直接利用这个工具,利用之前先用./testssl.sh --h查看一下用法 发现参数为-O时是可以检查POODLE漏洞是否存在的 4.使用命令./testssl.sh -O +url来验证漏洞是否存.
ESPRIT算法.rar_TAM esprit_dried3cn_esprit算法_tls-esprit_toeplitz es
07-14
基于旋转不变子空间算法的DOA估计,包含了LS-ESPRIT,MATRIX-ESPRIT,R-ESPRIT,TAM-TOEPLITZ,TLS-ESPRIT算法的仿真程序
qca-ossl-2.0.0-beta3.rar_QCA SSL_ossl_qca_ssl2 ssl3 tls
09-23
需要注意的是,由于SSL2和SSL3已不再被视为安全,现代应用应主要关注TLS,尤其是TLS 1.2及以上版本,以确保数据传输的安全性。在实际开发中,应当遵循最新的安全标准和最佳实践,避免使用过时的加密协议。
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
"tls protocol_TLS_ssl_ssl/tls_tls pdf" 指的是文档可能涵盖了TLS协议、SSL(Secure Sockets Layer)协议以及它们之间的关系,并且是以PDF格式存储。 **描述解读:** 提供的描述简洁明了,表明这个文档是关于SSL...
EVP_Encrypt.rar_EVP_des_cbc_ebc加密模式java_openssl EVP des cbc_open
09-24
在这个项目中,"EVP_des_cbc"可能指的是OpenSSL中的EVP(Encryption and Verification Primitives)接口,这是OpenSSL提供的一组高级加密函数,可以处理多种加密算法,包括DES。CBC(Cipher Block Chaining)模式是...
openSSL DES算法(ecb,cbc....)
07-18
openSSL DES ecb padding
在 Qualys SSL Labs SSL 测试中获得 A+ 评级的秘技 2020版 - F5 BIG-IP
sysin | SYStem INside
08-26 692
1. F5 BIG-IP F5 BIG-IP 默认 B 级别(本例基于当前最新的 BIG-IP 16.0.0) TLS 1.2 + HSTS + No Warning + TLS_FALLBACK_SCSV = A+ (No Warning 即受信任 SSL 证书,TLS_FALLBACK_SCSV F5 默认支持) 故:A 级别 + 开启 HSTS = A+,推荐启用 TLSv1_3 和 HTTP/2 其他应用交付产品可以参照 F5 配置 Ciphers 配置:A 级别 (TLSv1.2) 根据2020年
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-05 8084
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击的SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
深度学习之SSL安全协议详解
子曰小玖的博客
04-19 5861
"SSL"协议对于黑客技术学习,是必须要掌握的,因为它在很多应用通信中无处不在。 "SSL"这个名词,可能大家没怎么听说过,但是它的一个应用大家肯定都熟悉,那就是"HTTPS"! HTTPS是基于SSL安全连接的HTTP协议。HTTPS通过SSL提供的数据加密、身份验证和消息完整性验证等安全机制,为Web访问提供了安全性保证,广泛应用于网上银行、电子商务等领域。 "SSL"是不是很...
CVE­-2014-3566
weixin_30633949的博客
06-12 559
https://access.redhat.com/articles/1232123 https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00 https://yryz.net/post/tls-fallback-scsv.html 关于SSL/TLS中间人降级攻击 TLS_FALLBACK_SCSV信令套件...
计算机怎样禁用中等加密算法,限制加密算法和协议 - Windows Server | Microsoft Docs...
weixin_30002803的博客
07-24 2742
限制某些加密算法和协议在 Schannel.dll09/08/2020本文内容本文介绍如何限制某些加密算法和协议在安全文件的Schannel.dll使用。 此信息还适用于为 MICROSOFT 加密 API (CAPI) 编写的独立软件供应商 (ISV) 。适用于: WindowsServer 2003原始 KB 编号: 245030备注本文适用于 Windows Server 2003 和...
SSL/TLS协议安全系列:CBC 模式的弱安全性介绍(一)
weixin_34080571的博客
03-08 3613
GoSSIP_SJTU · 2015/06/24 10:45 编辑标注: 因drops对数学符号的支持存在问题,所以部分内容采取图片的形式显示,我们会经快解决这个问题,希望见谅。 一 前言 在SSL的一些版本中,使用CBC分组模式对数据进行加密,而CBC分组模式在使用中常会出...
TLS】关于TLS密码套件说明
热门推荐
michaelwoshi的博客
05-16 1万+
TLS主要包含两部分协议,一部分是Record Protocol,描述了数据的格式,另一部分是Handshaking Protocols,描述了握手过程。 握手的目的有两个,一个是保证通信的双方都是自己期待的对方,任何一方都不可能被冒充,另一个是交换加密密码,使得只有通信的双方知道这个密码,而别人不知道。前一个就是我们常说的认证,而后一个就是密码交换。认证是通过证书来达到的,而密码交换是通过证书里面的非对称加密算法(公私钥)来实现的。 握手的交互图 密码套件就是一个密码算法三件套,里面..
c语言如何实现ssl报文中去掉Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)
最新发布
09-27
在C语言中,SSL/TLS协议的处理通常涉及低层的网络套接字操作以及安全库如OpenSSL。如果你想要在SSL握手过程中移除Cipher Suite TLS_EMPTY_RENEGOTIATION_INFO_SCSV(0x00ff),这个选项通常是用于禁用废弃的安全措施,并不是直接从报文里删除,而是设置适当的配置。 以下是使用OpenSSL的一个示例步骤: 1. 首先,你需要初始化一个SSL_CTX结构,这是处理SSL连接上下文的地方: ```c SSL_CTX *ctx = SSL_CTX_new(TLS_client_method()); ``` 2. 然后,在创建SSL连接前,你可以修改默认的cipher suites列表,排除TLS_EMPTY_RENEGOTIATION_INFO_SCSV: ```c const SSL_CIPHER *exclude_cipher[] = { &TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, /* 替换为你不想用的cipher suite */ NULL }; SSL_CTX_set_cipher_list(ctx, "exclude:CIPHERSPEC"); ``` 这里,"exclude:CIPHERSPEC"是你自定义的cipher suites列表,其中包含你不希望客户端使用的加密套件,包括TLS_EMPTY_RENEGOTIATION_INFO_SCSV。 3. 最后,创建SSL连接并开始通信: ```c SSL *ssl = SSL_new(ctx); if (!SSL_connect(ssl)) { // 处理错误... } ``` 4. 如果需要,你可以在完成握手后进一步检查cipher suite是否已更改: ```c const SSL_CIPHER *selected_cipher = SSL_get_current_cipher(ssl); // 检查selected_cipher 是否是期望的cipher suite ``` 请注意,这只是一个基本示例,实际应用中可能还需要处理更多的错误和安全考虑。并且,由于OpenSSL库的复杂性,建议查阅详细的文档或官方API来确保正确实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值