Apache安全加固--修复SSL/TLS弱密码漏洞（中危）和禁用TRACE/TRACK方法（高危）

最新推荐文章于 2023-06-26 10:49:11 发布

weixin_34061555

最新推荐文章于 2023-06-26 10:49:11 发布

阅读量2.3k

点赞数

文章标签：开发工具运维网络

原文链接：http://blog.51cto.com/linglilau/1751628

版权

本文介绍了如何修复Apache服务器上的SSL/TLS弱密码漏洞及禁用TRACE/TRACK方法，包括修改.htaccess文件阻止特定请求方法，调整SSL协议和密码套件，以及更新系统配置来增强安全。通过这些步骤，成功消除了高危和中危安全警报。

摘要由CSDN通过智能技术生成

先看看扫描到的漏洞截图

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34061555

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

漏扫处理：SSH弱算法问题解决

weixin_53389944的博客

07-12

1254

如果命令输出错误信息，请检查配置文件中指定的行以解决问题，并确保重新执行该命令直到没有错误出现为止。运行以上命令后，Nmap将扫描目标IP地址上的SSH服务器，并返回可用的加密算法和密钥交换算法列表，以及SSH服务器的版本信息。它可以帮助你在重启SSH服务器之前验证配置文件的正确性，以避免出现配置错误导致SSH连接问题的情况。一般情况下要禁用SSH服务器上的某些加密算法，你需要编辑SSH服务器的配置文件，并将不需要的算法从配置中删除或注释掉。配置行，那么禁用加密算法的步骤可能会略有不同。

Apache的SSL/TLS加密

李永亮的专栏

05-23

4452

在处理这个问题的时候，我遇到了一个意外，我使用了X-Windows的工具修改了httpd.conf，导致httpd无法启动，报的错误是[Hint: SSLCertificateFile]。正好此时，我覆盖了SSL的认证文件，导致我认为问题出在SSL上，从而导致问题出的比较厉害。但也因为这样，我对SSL的应用也更加的了解了。如果使用指令直接生成证书文件当然特别麻烦了，

参与评论您还未登录，请先登录后发表或查看评论

Tomcat6/7应用服务器-禁用RC4等弱密码套件

果果的小莴笋

08-09

1786

Tomcat6/7应用服务器-禁用RC4等弱密码套件密码套件根据Tomcat应用服务器和jdk使用。修改conf\server.xml文件配置的sslEnabledpotocols、ciphers sslEnabledpotocols的值一般为：TLSv1,TLSv1.1,TLSv1.2 Java6 + Tomcat6/7 的ciphers TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE

SSL协议安全系列：SSL中弱PRNG带来的安全问题

weixin_34162228的博客

03-08

264

GoSSIP_SJTU · 2015/10/10 10:460x00 前言在前两讲中，我们主要对SSL协议中CBC模式的弱安全性进行了系统的介绍。这一讲中我们对用于生成SSL中所用密钥的PRNG做一点简单介绍。0x01 什么是PRNG？PRNG（pseudo Random Noise Generation），即伪随机噪声生成，用于生成各种密码学操作中所需的随机数。一般而言，Linux系统中的PRN...

apache httpd漏洞修复

u012791712的博客

06-26

282

需求：当前版本的sshd存在安全隐患，需要升级到最新版本openssh-9.3版本。需求：当前版本的Apache存在安全隐患，需要升级到最新版本V2.4.57版本。

Apache的Track/trace请求漏洞修补（关闭其请求类型并测试是否关闭）

向技术大牛致敬

03-21

5476

一.先测试是否允许 Track/trace 请求操作流程： 1.先打开windows的命令工具，开始进行如下测试↓↓↓↓↓↓↓ 测试方法：通过telnet到HTTP的某个服务端口，进行测试，如下描述(红色为你要输入的部分)。关闭前测试会返回200 OK： [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx.....

apache 域名转发功能

pengwupeng2008的专栏

06-02

2177

1、端口转发功能 #开启 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] #转发之后地址的域名不转向到IP和端口 #RewriteCond %{REQUEST_METHOD} !^POS

Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本

10-06

Windows Server 合规漏洞修复，修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本，基于Windows PowerShell，兼容Windows Server 2016/2019，防止Sweet32 生日攻击

解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件

12-26

解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件

SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具

最新发布

08-28

用于移除系统中可能存在的脆弱加密套件支持win7及以上系统，包括Server版本需要手动重启后生效

httpd服务器常见漏洞修复,Apache漏洞修复记录

weixin_35559171的博客

08-05

832

一、慢http攻击漏洞1、在Apache中配置reqtimeout_module设置header和body的最大响应时间。Apache配置保存后重启Apache。再进行测试可以看到，受到攻击后，服务中断时间大幅减少，服务器正常服务的时间保持在80%左右，可维持正常的服务状态。2、由于缓慢http攻击的攻击性质，攻击者一般操作单台计算机就可以进行攻击，所以假设在生产环境下，受到攻击后，可以通过req...

apache http server修复CVE-2016-2183漏洞

卧龙居

10-17

1723

nmap -sV -p [端口] --script ssl-enum-ciphers [ip]输出的结果里，不再包含DES等弱加密方式。1.openssl升级，这是必须的。并重启http server。

WEB安全防御总结二：不安全方法（ Trace/Track/Options/...）

了解—学习—进步—满足

09-08

3035

漏洞简介：攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。修复建议： 1.在服务器配置中禁止非常用的HTTP方法 2.代码中只支持常见HTTP方法。处理方式：禁止 Trace|Track|OPTIONS等方法。作者做了几个地方的修改，现在一个一个列出来： 1. 修改.htaccess文件在文件中添加代码如下： <IfModule mo...

Tomcat控制台弱密码漏洞

Kevin's Blog

07-23

4974

文章目录一、漏洞介绍1.1 漏洞原理1.2 影响版本1.3 触发条件二、环境搭建2.1 环境信息2.2 tomcat配置2.3 配置漏洞环境三、攻击过程四、漏洞修复一、漏洞介绍 1.1 漏洞原理 Tomcat支持后台部署War文件，默认情况下管理页面仅允许本地访问，如果网站运维/开发人员手动修改配置文件中的信息允许远程IP进行访问（需求），且恶意攻击者拿到管理界面账户密码情况下，则可上传木马文件，控制系统。 1.2 影响版本全版本 1.3 触发条件默认配置文件已被修改，允许非本地访问攻击者

APACHE SSL 加密启动取消密码输入解决的两种方式

南角影

08-14

3143

一、密码自动输入 1、创建密码文件xx.sh. 内容如下 #!/bin/sh echo “password” 2、APACHE http.conf修改模块中加入 SSLPassPhraseDialog exec:[xx.sh全路径] 3、给显示脚本设置文件保护 chmod 500 xx.sh 二、秘钥去除密码 1、备份原秘钥（重要！！！） 2、准备秘钥文件 cp my

快速扫描服务端口来获取服务器支持的SSL cipher列表

热门推荐

never never的专栏

05-07

1万+

出于安全考虑，网络上的数据传输大部分都是加密传输。我们平时接触到比较多的应该算是https了。HTTPS是在HTTP的基础上通过SSL协议对数据进行加密，以保证用户数据在传输过程中不被窃取。SSL协议有sslv2, sslv3, tlsv1, tlsv1.1和tlsv1.2。目前推荐使用的只有tlsv1.2，其它协议都存在各种安全漏洞。在每种SSL协议中，又包括了一系列的加密算法，也即是ciphe...

SSL/TLS CipherSuite-- 加密套件

hulei0503的专栏

04-30

8010

如何检查当前系统与ciphers 和SSL/TLS 版本： > openssl ciphers -V | column -t 0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD 0xC0,0x2C - ECDHE-ECDSA...

在 Apache 服务器上安装 SSL 证书

a_small_cherry的博客

02-18

1340

简介：阿里云SSL证书服务支持下载证书安装到Apache服务器，从而使Apache服务器支持HTTPS安全访问。本文主要为大家介绍证书安装的具体操作。镜像下载、域名解析、时间同步请点击阿里巴巴开源镜像站一、前提条件您的Apache服务器上已经开启了443端口（HTTPS服务的默认端口）。您的Apache服务器上已安装了mode_ssl.so模块（启用SSL功能）。本文档证书名称以domain name为示例，例如：证书文件名称为domain name_public.crt，证...

windows server cve-2016-2183 ssl/tls协议信息泄露漏洞修复脚本

05-01

CVE-2016-2183是一种SSL/TLS协议信息泄露漏洞，可能允许攻击者披露SSL/TLS连接的一些内容，包括密钥。为了缓解该漏洞的风险，需要使用Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本。修复脚本本质上就是一些批处理命令，用于修改注册表以更改Windows服务器上SSL/TLS协议的配置。首先，需要下载修复脚本并保存为“fix.reg”文件。然后，跟随以下步骤修复漏洞： 1. 在管理员命令提示符中运行命令“regedit”打开注册表编辑器。 2. 导入修复脚本文件“fix.reg”。 3. 确认是否有一条类似于“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client”的新注册表密钥被添加，如果没有则手动创建。 4. 在该密钥中创建一个新DWORD值并将其命名为“DisabledByDefault”，将值设置为“1”以禁用该协议。 5. 重复步骤4以在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client”中禁用TLS 1.2协议。执行以上步骤后，应该禁用了TLS 1.1和TLS 1.2协议。这有助于减少攻击者利用此漏洞的可能性，同时确保服务器上的SSL/TLS协议更加安全。请注意，对于不同版本和配置的Windows Server，此修复脚本可能会有所不同，建议参考相关产品文档或咨询专业人员实施修复措施。