服务器SSL不安全漏洞修复方案

最新推荐文章于 2024-06-15 14:19:29 发布
最新推荐文章于 2024-06-15 14:19:29 发布
阅读量2.1w 收藏 9
点赞数
分类专栏: 技术分享 文章标签: 安全漏洞 服务器 ssl

关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

如何检测漏洞
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

复制代码
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                                TLS_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later


  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“\”)

<Connector port="443" maxHttpHeaderSize="8192"
               maxThreads="150"
               protocol="HTTP/1.1"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true"
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               SSLCertificateFile="conf/2_domian.com.crt"
               SSLCertificateKeyFile="conf/3_domian.com.key"
               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器:
使用我们的套件工具,按照如下图进行修复。
下载地址:
windows server 2008 http://www.wosign.com/download/IISCrypto.exe
windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012
这里写图片描述
根据图示进行选择,修改完成后重启服务器。

BroceHui
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL相关漏洞解决方法
12-03 2854
最近用绿盟扫描系统进行内网网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的加固方法。 本次涉及漏洞 1.漏洞名称:SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 2.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 知识普及1:SSL协议要点 SSL(Secure So...
express中间件当做前端服务器安全漏洞处理
02-27
然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express中间件中可能存在的安全问题,并提供一些处理这些问题的方法。 一、Express中间件的理解与使用 Express中间件是一种函数,它接收...
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描修复方案
qq_45373631的博客
05-09 7351
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了RC4算法,修改配置文件就可以了。2.重启nginx服务 systemctl restart nginx.service。如果你是其它中间件原理是一样的,你需要找到你中间件的配置文件然后 禁用RC4:!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。反正不要使用RC4算法就好。2.重启apache服务。1.ssh禁用RC4算法。2.重启sshd服务。
sslyze一键检查服务器检查服务器SSL/TLS 安全性(KALI工具系列二十五)
最新发布
LNN0212的博客
06-15 632
SSLyze 是一个用于分析 SSL/TLS 配置的工具,可以检查服务器SSL/TLS 安全性。在 Kali Linux 中,你可以使用 SSLyze 来检查目标服务器SSL 配置。使用sslyze进行IP或者域名扫描,可以收集目标服务器SSL/TLS信息,可以进一步测试服务器的安全性。
USG6000 SSL/TLS协议信息泄露漏洞【原理扫描
ljq357031560的博客
06-27 587
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描SSL/TLS服务器瞬时Diffie-Hellman公共密钥过弱【原理扫描
不安全的TLS协议漏洞修复
SmallBull的博客
02-07 3800
TLS安全漏洞
SSLv3存在严重设计缺陷漏洞(CVE-2014-3566)
weixin_30834783的博客
08-17 3697
SSLv3存在严重设计缺陷漏洞(CVE-2014-3566) 1、引发问题的原因 SSLv3漏洞(CVE-2014-3566),该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。针对此漏洞,需要服务器端和客户端均停用SSLv3协议。 2、解决方法 临时解决办法:修...
Web漏洞检测及修复方案.doc
05-17
Web 漏洞检测及修复方案是指对 Web 应用程序的漏洞进行检测和修复,以确保 Web 应用程序的安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测和修复 Web 漏洞。 ...
appscan安全漏洞修复
12-21
文档"web安全验收漏洞修复总结【java项目心血结晶】.doc"应该包含更详细的案例分析和具体的代码示例,帮助Java开发者深入理解这些问题并采取相应的修复措施。通过持续的学习和实践,我们可以不断提升Web应用的安全性...
29-SSL安全问题及漏洞1
08-03
1. **定期更新和修复**:保持SSL库,如OpenSSL,的版本是最新的,及时修补已知的安全漏洞。 2. **选择可靠的CA**:谨慎选择证书颁发机构,了解其历史记录,避免选择有过安全问题的CA。 3. **启用HSTS...
数据库“投毒”漏洞修复方案
11-11
【数据库“投毒”漏洞修复方案】 在信息技术领域,数据库是存储和管理信息的核心系统,其安全性至关重要。数据库“投毒”是指攻击者通过注入恶意数据来破坏或篡改数据库内容,导致系统运行异常或者数据泄露。Oracle...
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
渗透测试工具——漏洞扫描工具
m0_61101264的博客
05-17 698
步骤3:选中需要Fuzz测试的位置,点击右侧“Add”按钮,在出现的Payloads”对话框中继续点击“Add”按钮,在弹出的Add Payload对话框中,“类型”选择“File Fuzzers",将列表中的"jbrofuzz"->injection"文件添加进去。恶意程序大规模传播并危害互联网:厂商发布补丁程序和安全预警将更进一步的让整个黑客社区了解出现新的安全漏洞和相应的渗透代码、恶意程序,更多的“黑帽子”们将从互联网或社区关系网获得并使用这些恶意程序,对互联网的危害也达到顶峰。
SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)【原理扫描
qq_45373631的博客
05-09 8310
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了DES、3DES算法,禁用这些算法就好了。2.重启nginx服务 systemctl restart nginx.service。其它中间件原理是一样的,找到中间件的配置文件 禁用!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。1.ssh禁用DES、3DES算法。重启lighttpd 服务。2.重启apache服务。2.重启sshd服务。然后就不会扫描出来了。
SSL协议
chenming3030的博客
05-27 3871
SSL协议
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 2871
漏洞详情 POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
【CVE-2015-2808】SSL/TLS漏洞修复
热门推荐
魔希达的博客
04-14 1万+
一、漏洞描述 SSL/TLS 存在Bar Mitzvah Attack漏洞 详细描述:该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法: 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS配置中禁止RC4。 验证方法: 根据SSL/TLS 存在Bar Mitzvah Attack漏洞原理,通过跟目标站点进行SSL握手并根据目标站点返回的Server He
Windows漏洞修复服务器,三种Windows服务器SSL/TLS的安全漏洞以及其补救方法
06-06
针对 Windows 操作系统的安全漏洞有很多种类型,其中包括了 SSL/TLS 安全漏洞。下面是三种 SSL/TLS 安全漏洞以及其补救方法: 1. CVE-2020-0601: Windows CryptoAPI 漏洞 这个漏洞可能允许攻击者伪造数字证书,从而能够欺骗用户并访问其敏感数据。要修复此漏洞,您需要安装 Microsoft 发布的安全更新。您可以在 Microsoft 官方网站上找到该更新。 2. CVE-2020-16898: Windows TCP/IP 漏洞 这个漏洞可能允许攻击者通过网络发送恶意数据包并执行任意代码。要修复此漏洞,您需要安装 Microsoft 发布的安全更新。您可以在 Microsoft 官方网站上找到该更新。 3. CVE-2020-1350: Windows DNS 漏洞 这个漏洞可能允许攻击者在 DNS 服务器上执行远程代码。要修复此漏洞,您需要安装 Microsoft 发布的安全更新。您可以在 Microsoft 官方网站上找到该更新。 需要注意的是,安装安全更新是保护您的服务器免受安全威胁的最有效方法。同时,您还应该遵循一些常规的安全最佳实践,例如使用强密码和启用双因素身份验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值