SSL配置 openssl漏洞修复整改建议

最新推荐文章于 2024-08-08 08:20:52 发布
最新推荐文章于 2024-08-08 08:20:52 发布
阅读量4.9k 收藏 32
点赞数 19
分类专栏: SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39950258/article/details/103070345
版权

注:内容摘抄于一个扫描报告

附:apache的ssl配置

LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443
SSLPassPhraseDialog  builtin
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost *:443>
    DocumentRoot /var/www/html/
    ServerName xxx.xxx.com
    ErrorLog logs/ssl_error_log
    TransferLog logs/ssl_access_log
    LogLevel warn
    

     #针对缺失"Content-Security-Policy"头漏洞整改建议
    Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' data: blob:;script-src 'self' 'unsafe-eval' 'unsafe-inline';img-src *;"

    #针对缺失"X-Content-Type-Options"头漏洞整改建议
    Header set X-Content-Type-Options nosniff

    #针对缺失"X-XSS-Protection"头漏洞整改建议
    Header set X-XSS-Protection "1; mode=block"

    #针对点击劫持:X-Frame-Options头缺失漏洞的整改建议
    Header always append X-Frame-Options SAMEORIGIN

    #针对缺少HTTP Strict-Transport-Security头漏洞的整改建议
    Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;"

    #针对Options方法已启用漏洞的整改建议
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} !^(GET|POST)
    RewriteRule .* - [F]
    SSLHonorCipherOrder On

    #针对弱ssl协议漏洞整改
    SSLEngine on
    SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1

    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
    SSLCertificateFile /etc/httpd/conf/xxx-xxx-com.crt
    SSLCertificateKeyFile /etc/httpd/conf/xxx-xxx-com.key
    SSLCertificateChainFile /etc/httpd/conf/CAChains.crt
    <Files ~ "\.(cgi|shtml|phtml|php3?)$">
       SSLOptions +StdEnvVars
    </Files>
    <Directory "/var/www/html/">
        Options FollowSymLinks
        AllowOverride ALL
        Order allow,deny
        Allow from all
    </Directory>
    <Directory "/var/www/cgi-bin">
       SSLOptions +StdEnvVars
    </Directory>
    SetEnvIf User-Agent ".*MSIE.*" \
             nokeepalive ssl-unclean-shutdown \
             downgrade-1.0 force-response-1.0
    CustomLog logs/ssl_request_log \
            "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
    
</VirtualHost>

存在弱SSL协议(中)

漏洞危害

      使用一个如TLSv1.0、SSL2.0、SSL3.0的弱协议容易受到中间人攻击。这将允许攻击者读取和修改在一个安全的TLS连接数据,从而影响用户的安全和隐私。它的使用也将限制使用强大的密码套件,这些套件是有助于保护数据的完整性和保密性

针对存在弱SSL协议漏洞整改建议

在服务器上禁用支持TLSv1\SSLv2\SSLv3协议。NIST 800-52和PCI DSS V3.1强烈建议升级到最新的版本的TLS v1.2。或者,至少升级到TLS v1.1。

 

关于SSLv2、SSLv3、TLSv1.0,心血漏洞 、弱加密协议漏洞检测的方法

安装linux sslscan  参考地址 点击前往

安装windows sslscan (不支持扫描心血漏洞,SSLv2、SSLv3)下载地址 点击前往,解压即可使用 使用命令 cmd执行 sslscan   域名:端口号

Ubuntu使用apt默认安装的不支持检测SSLv2和SSLv3漏洞,使用git或者安装包安装。会附带openssl-1.0.2g,高版本都不支持检测SSLv2和SSLv3

踩个坑:如果网站在防火墙【例如H3C防火墙】后布置,交换机防火墙做ssl访问转发。扫描报告很有可能会有误,最准确的方法是在服务器上安装扫描工具,在本机上扫描本机,不过防火墙转发请求,./sslscan 127.0.0.1:443【猜测:扫描工具进行访问,防火墙进行所有路由转发,不论是否网站能访问,扫描工具认为访问成功,所以会爆出网站有漏洞】

 

Apache

在httpd-ssl.conf中进行设置

SSLProtocol ALL –SSLv2 -SSLv3 -TLSv1

 

Nginx

在nginx.conf中进行设置

ssl_protocols tlsv1.1 tlsv1.2; 

 

IIS

确保服务器操作系统至少升级到Windows Server 2008 R2 版

1禁用TLS 1.0

1.1运行注册表编辑器regedit

1.2寻找或创建注册表项目

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\

1.3在此项下面创建名为Server的注册表项

1.4在Server项下创建名为Enabled的值,将其设置为0。

2启用TLS 1.1或TLS 1.2

2.1运行注册表编辑器regedit

2.2寻找或创建注册表项目

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\

2.3在上面两项下分别创建名为Server的注册表项

2.4在Server项下寻找或创建名为Enabled的值,将其设置为1。

缺失"Content-Security-Policy"头(低)

 漏洞危害

      •可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置

      •可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息

针对缺失"Content-Security-Policy"头漏洞整改建议

Content-Security-Policy 参考地址 点击前往

Java Content-Security-Policy过滤器

可使用下面的开源项目添加Content-Security-Policy响应头,使用说明参见项目注释。

https://github.com/ronaldploeger/ContentSecurityPolicyFilter/blob/master/src/main/java/de/saville/csp/ContentSecurityPolicyFilter.java

 

Spring

使用 spring security框架

在 security-config-xml 文件中设置

<http>
...
<headers>
<content-security-policy
   policy-directives="default-src 'self' " />
</headers>
</http>

IIS

在web.config中进行设置:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>

 

Nginx

在nginx.conf中进行设置:

server {

…

add_header Content-Security-Policy "default-src 'self';";

}

Apache

在httpd.conf中进行设置:

Header set Content-Security-Policy "default-src 'self';"

缺失"X-Content-Type-Options"头(低)

漏洞危害

       •可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置

       •可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息

针对缺失"X-Content-Type-Options"头漏洞整改建议

Tomcat

在web.xml中进行设置:

<filter>

<filter-name>httpHeaderSecurity</filter-name>

<filter-class>

org.apache.catalina.filters.HttpHeaderSecurityFilter

</filter-class>

<BlockContentTypeSniffingEnabled>true</BlockContentTypeSniffingEnabled>

</filter>



<filter-mapping>

<filter-name>httpHeaderSecurity</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

IIS

在web.config中进行设置:

<system.webServer>

<httpProtocol>

<customHeaders>

<add name="X-Content-Type-Options" value="nosniff ">

</customHeaders>

</httpProtocol>

</system.webServer>

 

Nginx

在nginx.conf中进行设置

server {

  …

add_header X-Content-Type-Options nosniff;

}

Apache

在httpd.conf中进行设置

Header set X-Content-Type-Options nosniff

缺失"X-XSS-Protection"头(低)

 漏洞危害

    •可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置

    •可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息

针对缺失"X-XSS-Protection"头漏洞整改建议

Tomcat(建议升级8以上版本,tomcat8以下版本无此配置)

在web.xml中进行设置:

<filter>

<filter-name>httpHeaderSecurity</filter-name>

<filter-class>

org.apache.catalina.filters.HttpHeaderSecurityFilter

</filter-class>

<xssProtectionEnabled>true</xssProtectionEnabled>

</filter>



<filter-mapping>

<filter-name>httpHeaderSecurity</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

IIS

在web.config中进行设置:

<system.webServer>

<httpprotocol>

<customheaders>

<add name="X-XSS-Protection" value="1; mode=block"></add>

</customheaders>

</httpprotocol>

</system.webServer>

 

Nginx

在nginx.conf中进行设置

http {

…

add_header X-XSS-Protection "1; mode=block";

}

Apache

在httpd.conf中进行设置

Header set X-XSS-Protection "1; mode=block"

点击劫持:X-Frame-Options头缺失(低)

漏洞危害

        点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

针对点击劫持:X-Frame-Options头缺失漏洞的整改建议

针对不同应用,请选用不同配置,如下

Apache配置X-Frame-Options

在站点配置文件httpd.conf中添加如下配置,限制只有站点内的页面才可以嵌入iframe。

Header always append X-Frame-Options SAMEORIGIN

配置之后重启apache使其生效。该配置方式对IBM HTTP Server同样适用。

如果同一apache服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess文件,添加如下内容:

Header append X-FRAME-OPTIONS "SAMEORIGIN"

Nginx 配置X-Frame-Options

到 nginx/conf文件夹下,修改nginx.conf ,添加如下内容:

add_header X-Frame-Options "SAMEORIGIN";

 重启Nginx服务。

IIS配置X-Frame-Options

在web站点的web.config中配置:

<system.webServer>

  ...

  <httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

  ...

</system.webServer>

Tomcat配置X-Frame-Options

2种方法:

第1种:将ClickjackFilter.jar添加到lib目录下。

(可在OWASP的网站中找到)

<filter>

    <filter-name>ClickjackFilterDeny</filter-name>

    <filter-class>org.owasp.filters.ClickjackFilter</filter-class>

      <init-param>

        <param-name>mode</param-name>

          <param-value>SAMEORIGIN </param-value>

      </init-param>

  </filter>

  <filter-mapping>

    <filter-name>ClickjackFilterDeny</filter-name>

    <url-pattern>/*</url-pattern>

  </filter-mapping>

第2种:打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器:TOMCAT8以下版本需要引入httpHeaderSecurity.jar,同源将参数设置为SAMEORIGIN跨域请设置为DENY

 <filter>

 <filter-name>httpHeaderSecurity</filter-name>

 <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

 <async-supported>true</async-supported>

 <init-param>

 <param-name>antiClickJackingEnabled</param-name>

 <param-value>true</param-value>

 </init-param>

 <init- param>

 <param-name>antiClickJackingOption</param-name>

 <param-value>SAMEORIGIN</param-value>

 </init-param>

<async-supported>true</async-supported>

 </filter>

 <filter-mapping>

 <filter-name>httpHeaderSecurity</filter-name>

 <url-pattern>/*</url-pattern>

 </filter-mapping> 

缺少HTTP Stricnsport-Security头(低)

 漏洞危害

    •可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置

    •可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息

针对缺少HTTP Strict-Transport-Security头漏洞的整改建议

Tomcat

在web.xml中进行设置:

<filter>

<filter-name>httpHeaderSecurity</filter-name>

<filter-class>

org.apache.catalina.filters.HttpHeaderSecurityFilter

</filter-class>

<hstsEnabled>true</hstsEnabled>

<setHstsIncludeSubDomains>true</setHstsIncludeSubDomains>

<setHstsMaxAgeSeconds>31536000</setHstsMaxAgeSeconds>

</filter>



<filter-mapping>

<filter-name>httpHeaderSecurity</filter-name>

<url-pattern>/*</url-pattern>

<dispatcher>REQUEST</dispatcher>

</filter-mapping>

 

IIS

在web.config中进行设置:

<system.webServer>

<httpprotocol>

<customheaders>

<add name="Strict-Transport-Security" value="max-age=31536000;includeSubDomains"></add>

</customheaders>

</httpprotocol>

</system.webServer>

 

Nginx

在nginx.conf中进行设置:

server {

  listen 443 ssl;

  …

  add_header Strict-Transport-Security "max-age=31536000;

                                        includeSubdomains;";

}

 

Apache

在httpd.conf中进行设置:

Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;"

Options方法已启用(低)

 漏洞危害

       可能导致敏感信息泄露,有助于恶意攻击者进一步攻击。

针对Options方法已启用漏洞的整改建议

Tomcat

在web.xml中进行设置

<security-constraint>

<web-resource-collection>

<web-resource-name>resourceName</web-resource-name>

<url-pattern>/*</url-pattern>

<http-method>GET</http-method>

<http-method>POST</http-method>

</web-resource-collection>

</security-constraint>

Apache

在 httpd.conf 中进行设置

RewriteEngine On

RewriteCond %{REQUEST_METHOD} !^(GET|POST)

RewriteRule .* - [F]

Trace方法已启用(低)

漏洞危害

    可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

针对Trace方法已启用漏洞的整改建议

 

 

解决方案: 禁用这些方式。

1、在各虚拟主机的配置文件里添加如下语句:

在\conf\http.conf里解除

LoadModule rewrite_module modules/mod_rewrite.so的注释

再增加

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

2、Available in Apache 1.3.34, 2.0.55 and later

TraceEnable off

 

不惜年少枉少年
关注
专栏目录
SSL相关漏洞解决方法
12-03 2891
最近用绿盟扫描系统进行内网网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的加固方法。 本次涉及漏洞 1.漏洞名称:SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 2.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 知识普及1:SSL协议要点 SSL(Secure So...
SSL weak ciphers 漏洞修复过程
bluemoon_0的博客
01-13 729
SSL weak ciphers 漏洞修复过程
实现Https访问网站,Windwos服务器 网站部署SSL证书 ,IIS安装SSL证书安装,windwos服务器安装SSL
qq_37290531的博客
12-03 626
Windwos服务器部署SSL证书实现实现Https访问网站 ,IIS安装SSL证书安装 (在阿里云中申请SSL证书,按个人需求申请与购买SSL证书。 此处申请证书是为企业网站申请的因为没有支付功能等其他安全性需求, 在这里是申请的一个免费的SSL证书,具体的申请流程这里就不做细说了阿里云上都有详细的帮助文档。此安装教程只针对于客户有独立服务器的网站,收费证书的安装方式也是相同的.) 阿里云免费申...
SSLScan: 检测SSL/TLS安全性的轻量级工具
最新发布
gitblog_01153的博客
08-08 679
SSLScan: 检测SSL/TLS安全性的轻量级工具 sslscansslscan tests SSL/TLS enabled services to discover supported cipher suites项目地址:https://gitcode.com/gh_mirrors/ss/sslscan 项目介绍 SSLScan是一款轻量级的命令行工具,旨在帮助用户快速全面地评估目标服务器...
脆弱的SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 5591
脆弱的SSL加密算法漏洞原理以及修复方法
脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复
2401_84139963的博客
04-09 2642
可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:httpd.conf3、 如何建立一个仅接受强加密请求的SSL服务器:如下设置为仅使用最强的七种密码算法:httpd.conf4、 如何建立一个仅接受强加密请求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档中有详细说明。
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
漏洞描述及整改意见(2021版).pdf
07-28
本文是一份关于2021年网络安全漏洞的详细描述和整改建议,内容涵盖了当前常见的一些安全漏洞,尤其是与SSL/TLS协议相关的漏洞。以下将详细解读文档中提到的各个漏洞以及如何进行修复。 首先,文档提到了心脏滴血...
CentOS7离线升级openssl1.1.1w,openssh9.6p1,所需资源包
04-08
1.1.1w是openssl的一个版本,包含了最新的安全补丁,修复可能的安全漏洞,增强了系统的安全性。离线升级到此版本可以确保系统不受已知openssl安全问题的影响。 **openssh9.6p1**: OpenSSH是SSH(Secure SHell)...
sslscan-2.0.0-beta3.zip
06-12
sslscan最新版2.0.0-beta3的编译版本,有el6 el7两个文件,放服务器上赋权chmod755就可以用了。el6的来之不易,且用且珍惜。
SSL漏洞处理
热门推荐
逸兴遄飞的专栏
08-15 1万+
openssl相关漏洞处理 网络设备在客户的机房上线,一般都使用扫描工具进行扫描,以查看是否存在漏洞风险,最近的项目中就出现了如下的风险漏洞SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 受诫礼攻击漏洞 临时解...
修复SSH服务支持弱加密算法漏洞
wangshui898的专栏
07-06 2101
老版本ssh服务支持弱加密算法漏洞
漏洞复现】CVE-2004-2761:使用弱哈希算法签名的 SSL 证书(SSL Certificate Signed Using Weak Hashing Algorithm)
qq_43455906的博客
08-07 1万+
本次复现是针对编号为CVE-2004-2761的漏洞,由于条件有限,本次复现通过创建自签名证书进行操作。解决证书链中的 SSL 证书使用弱哈希算法进行签名的问题。
浅谈“脆弱的SSL加密算法“
→_→
07-06 7882
一:漏洞名称: 弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆弱。黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较弱的加密算法将不能较好的保证通...
SSL证书加密套件常见弱密钥以及修复建议
SSL加密技术
11-02 5969
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
【CVE-2015-2808】SSL/TLS漏洞修复
魔希达的博客
04-14 1万+
一、漏洞描述 SSL/TLS 存在Bar Mitzvah Attack漏洞 详细描述:该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法: 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS配置中禁止RC4。 验证方法: 根据SSL/TLS 存在Bar Mitzvah Attack漏洞原理,通过跟目标站点进行SSL握手并根据目标站点返回的Server He
安装sslscan
weixin_38437520的博客
11-24 2164
安装sslscan 1.yum install git gcc 2.git clone https://github.com/rbsec/sslscan 3.wget http://www.zlib.net/zlib-1.2.11.tar.gz tar zxvf zlib-1.2.11.tar.gz cd zlib-1.2.11 ./configure make test make i...
WebLogic与OpenSSL SSL配置全攻略:证书生成与部署
"该文档是一份关于如何在WebLogic服务器上使用OpenSSL生成SSL证书并进行配置的手册,包括从生成证书、安装WebLogic、构建WebLogic域、配置SSL到HTTPS验证的详细步骤。" 正文: 1. **生成SSL证书** 在生成SSL证书时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值