【网络安全-重协商攻击】基于python2.7的后端重协商攻击解决方案

最新推荐文章于 2024-03-26 13:13:47 发布
最新推荐文章于 2024-03-26 13:13:47 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: |网络安全| 文章标签: 网络安全 重协商攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuzk2014/article/details/89304483
版权

1. 背景

最近用flask搭建的后端服务系统,被绿盟安全扫描软件扫描出了重协商攻击的网络安全漏洞

2. 升级openssl

cd /usr/local/src
wget https://www.openssl.org/source/old/1.1.0/openssl-1.1.0d.tar.gz
tar xvf openssl-1.1.0d.tar.gz
cd openssl-1.1.0d/
./config --prefix=/usr/local/openssl-1.1.0d
make && make install
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old

ln -s /usr/local/openssl-1.1.0d/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl-1.1.0d/include/openssl/ /usr/include/openssl
# 更新动态链接库数据
echo /usr/local/openssl-1.1.0d/lib/ > /etc/ld.so.conf
openssl version

0、影响的文件 都备份成了bak
/usr/lib/x86…
/bin
/usr/bin
/usr/local/bin
/lib/x86…

安装python2.7.16版本
#vi Python-2.7.9/setup.py
修改此部分内容并重新编译python
#Detect SSL support for the socket module (via _ssl)
search_for_ssl_incs_in = [
‘/usr/local/ssl/include’,
‘/usr/local/include/openssl’, #增加该行内容
‘/usr/contrib/ssl/include/’
]

1、安装openssl
需要指定openssl
指定libcrypto.a: sudo ln -s /lib/x86_64-linux-gnu/libcrypto.a /usr/local/openssl/lib/libcrypto.a

2、检查python的动态库 ./lib/python2.7/lib-dyln/_hashlib.so
ldd _hashlib.so
如果它的crypto.so是/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
则需要将其指定为openssl/下的libcrypto.so
否则找不到hash的md等hash函数

3、安装python的setuptools 和 pip
cd setuptools-40.8.0
python setup.py install
cd …/pip-18.0
python setup.py install

安装虚拟环境
rm -r webmnt_venv_2_7_16
virtualenv webmnt_venv_2_7_16
cd ./webmnt_venv_2_7_16/bin
. activate
cd /home/alexliu-ubuntu/Documents/code/lwos_web_mnt/webmnt_gerrit/webMNT/backend_flask
pip install -r requirments.txt

4、python的动态库路径
sudo ln -s /usr/local/src/Python-2.7.16/libpython2.7.so.1.0 /usr/lib/x86_64-linux-gnu/libpython2.7.so.1.0

运行webmnt的时候,需要把/lib/x86_64-linux-gnu/libcrypto.so.1.0.0屏蔽掉

5、问题
原有的python3和python2.7.12都不能使用了
原有的openssl的lib库

alexliu2360
关注
专栏目录
漏洞修复:TLS Client-initiated协商攻击(CVE-2011-1473)
u012785397的博客
05-14 5457
修复通过jsse实现的ssl/tls不安全的协商漏洞
RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
xieqj_0511的博客
06-16 7615
CVE-2011-1473安全漏洞修改,针对rocketmq
漏洞修复:RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
最新发布
weixin_54626591的博客
03-26 2288
RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473复现验证)
qq_45300786的博客
06-08 1万+
一、使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack ./tls-reneg.sh host:端口 二、使用openssl可验证 openssl s_client -connect host:端口 三、使用testssl脚本可验证 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.168.1.22 二、DROWN(CVE-
python https 协议_python https协议和InsecurePlatformWarning问题
weixin_42245942的博客
02-02 193
本人最近在学习python,今天想使用python来抓取糗事百科网站上的一些笑话故事的,由于糗事百科的网站url采取的是https协议,所以当我按照常规的方式抓取的时候,发现不行,报错了,找了很多方法都不好使,这对于一个初学者来说真是很捉鸡的一件事情,最后google了好久,终于找到了解决的办法,接下来一起看一下一、针对https协议的网站需要验证证书错误信息:'[SSL: CERTIFICATE...
Python3引入ssl报错(解决方案
发现美的眼睛
05-28 3634
Python3引入ssl报错 源码编译安装python3.6 解决ssl问题 该文章作者亲测有效,环境为云服务器centos7 步骤 [root@shuai ~]# mkdir /root/Downloads [root@shuai ~]# cd /root/Downloads/ [root@shuai Downloads]# wget https://www.python.org/ft...
Python SSL协商问题:4大解决方案助你应对挑战
[Python SSL协商问题:4大解决方案助你应对挑战](https://support.kemptechnologies.com/hc/article_attachments/23721616044173) # 1. Python中的SSL协商问题概述 ## 1.1 SSL协商问题的背景 SSL(安全套接字...
Python库 | pyspnego-0.1.0rc1-cp27-cp27m-win_amd64.whl
02-20
Python库pyspnego-0.1.0rc1-cp27-cp27m-win_amd64.whl是针对Python 2.7版本的一个后端开发工具,主要功能是...不过,值得注意的是,这个库仅支持Python 2.7,对于Python 3的开发者,可能需要寻找其他兼容的解决方案
Python 高性能编程
GitChat
04-13 4760
你将获得 通过阅读本书,你将能够: 更好地掌握 numpy、Cython 和剖析器; 了解 Python 如何抽象化底层的计算机架构; 使用剖析手段来寻找 CPU 时间和内存使用的瓶颈; 通过选择合适的数据结构来编写高效的程序; 加速矩阵和矢量计算; 使用工具把 Python 编译成机器代码; 管理并发的多 I O 和计算操作; 把多进程代码转换到在本地或者远程集群上运行; 用更少的内存...
Python开源项目参与】:tlslite.api社区动态与贡献指南
![【Python开源项目参与】:tlslite.api社区动态与贡献指南]...在Python的生态圈中,有许多著名的开源项目,如Django、Flask、NumPy等,它们在Web开发、数据分析和科学
flask-tlsauth:用于进行 TLS 客户端证书身份验证的烧瓶扩展
07-12
Flask-TLSAuth Flask-TLSAuth 集成了一个最小的证书颁发机构(CA)并实现了 TLS 客户端证书认证。 它依赖于 nginx 来处理 TLS 身份验证部分。 安装 pip install flask_tlsauth Flask-TLSAuth 依赖于 tlsauth,它提供了充当 CA 的最少工具。 请按照“CA和HTTPS服务安装”从步骤设置你的网络服务器和CA. tlsauth 装饰器 Flask-TLSAuth 提供了一个简单的装饰器来保护你的入口点: from flask import Flask , Response , redirect import os app = Flask ( __name__ ) app . secret_key = 'some secret randomness' # we need a CA from tlsauth
Python SSL负载均衡:确保多实例SSL会话一致性的技巧
SSL(安全套接层)负载均衡作为提高网络安全性的关键组件之一,能够为网站和应用提供强大的数据加密和身份验证功能。然而,在实现SSL负载均衡时,我们面临一系列挑战,包括复杂的配置、性能开销以及会话一致性的问题...
协商攻击(CVE-2011-1473) 漏洞处理
技术小站
09-02 9925
协商攻击(CVE-2011-1473) 漏洞处理
Python基础|类方法的强制写与禁止
爱码小哥
10-15 2805
类方法的强制写与禁止
OpenSSL握手协商过程中存在漏洞可导致拒绝服务
鹈鹕门将的博客
05-23 3034
OpenSSL是一个非常流行的通用加密库,可为Web认证服务提供SSL/TLS协议的具体实现。最近以来,人们发现OpenSSL中存在几个漏洞。我们写过几篇文章分析这些漏洞,包括“CVE-2017-3731:截断数据包可导致OpenSSL拒绝服务”、“SSL死亡警告(CVE-2016-8610)可导致OpenSSL服务器拒绝服务”等。今天,我们将要分析的是CVE-2017-3733这个高危级漏洞,即E
linux ssl关闭协商服务,openssl协商失败
weixin_33371495的博客
05-09 2467
1.使用openssl在tcp上建立加密通道2.在7秒到14秒之间,随时有可能进行协商3.协商过程中,C/S端不停止调用SSL_read和SSL_write通过代码可以看出:1.SSL_read/write首先检查是否需要协商2.需要协商的情况下,检查业务读写缓冲区中是否数据,有数据等待处理完3.业务读写缓冲区没有数据的情况下,设置RENEGOTIATE标志,从这个点开始SSL_in_in...
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)”漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
TLS Client-initiated 协商攻击(CVE-2011-1473)漏洞验证测试
afei001
03-07 7266
目录 1.前言 2.TLS Client-initiated协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施 4.1 针对各中间件修复建议 1.前言 最近在对网站进行安全漏扫时,使用绿盟RSAS远程评估系统发现了TLSClient-initiated 协商攻击(CVE-2011-1473)漏洞。最后经过人工验证,发现该漏洞属于误报。这里记录修复过程和验证方法。 2.TLS Client-initiated协商漏洞概述 该漏...
optbuild-0.1.11-py2.7.egg:Python后端库资源包解析
总结以上内容,optbuild-0.1.11-py2.7.egg是一个为Python 2.7版本设计的Egg格式库,它提供了特定功能或服务,可以在后端开发中使用。开发者在使用该库时需要注意Python版本的兼容性问题,以及库的依赖和安装细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值