服务器启用了sslv2协议_服务器安全之SSL POODLE漏洞的检测及修复方法

最新推荐文章于 2024-04-16 22:29:24 发布
最新推荐文章于 2024-04-16 22:29:24 发布
阅读量717 收藏
点赞数
文章标签: 服务器启用了sslv2协议

OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

不同安全级别的安全,对于站点安全评价起重要的作用。

如何检测漏洞?

检测漏洞可通过在线检测工具SSL Server Test来进行检测。可以访问myssl官网进行快速检测:

https://myssl.com/

或者借助第三方插件评价,如下图即chrome之myssl插件工具:

db442a6cc653a4579425bf4eee48d39e.png

修复漏洞措施:

禁用sslv3协议,不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:

9606c61c50a8d7dc4d28766c86abf38c.png

apache服务器:

1edb012b2be8b336d61e9d2fc85e4db3.png

IIS服务器:可以借助第三方套件工具,如:IISCrypto工具。

5ffabeed55b1d5f6918e59c8e35ea560.png

根据图示进行选择,修改完成后重启服务器。

Tomcat服务器:JDK版本过低也会带来不安全漏洞,请升级JDK为版本。升级JDK风险请安按照系统升级风险酌情考虑。

45814a70db617f95bf40e71f6a63dc8f.png

使用apr的tomcat

b8dd48bed90fc55d820d817ec0aab925.png

对于其他平台的修复方式 可以参考其官方文档。

注意事项:Windows XP 系统下的 IE6 或以IE6作为内核的浏览器,默认不支持 SSL3.0以上的 加密协议。

84c2d81e2be4d88d2c5c565620b95330.png

若服务端关闭SSL3.0协议,需在此类客户端启用TLS 协议。

weixin_39978101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
服务器启用sslv2协议_黑客惊现!组件IIOP协议远程代码执行漏洞
weixin_39538877的博客
11-24 169
在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞(CVE-2020-2551),此漏洞存在于WebLogic服务器的核心组件中,当WebLogic服务器处于默认设置时,不需要进行管理身份验证和额外的交互,就会触发此漏洞,从而产生广泛的影响。官方给出的CVSS 评分为 ...
脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复
2301_76225520的博客
04-16 432
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
服务器启用sslv2协议_如何正确启用HTTPS?为什么要启用HTTPS访问?
weixin_39936403的博客
11-24 748
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。一、如何正确启用HTTPS?HTTPS访问就是使用SSL协议进行访问,需要将网站架设为SSL安全站点。1、需要从可信的证书办法机构CA获取服务器证书。2、必须在WEB服务器上安装服务器证书。3、必须在WEB服务器启用SSL功能。4、客户端(浏览...
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2474
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 1470
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Last revision (mm/dd/yy): 12/20/2013 Vulnerabilities Table of Contents Description Standard p
Nginx服务器中关于SSL安全配置详解
01-10
不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually ...
POODLE-simulation:SSLv3上的POODLE漏洞模拟
03-26
在纸上将您实现为尝试利用此漏洞的攻击者,并解释您的代码及其细微差别代码poodle.py包含带有sslv3协议的加密/解密功能。 并进一步演示了对协议的狮子狗攻击。 代码已被很好地记录下来,控制台上的打印输出可帮助您...
poodle:SSLv3中POODLE漏洞的概念证明
05-03
由SecureTCPHandler在此处实现的服务器是完全正常的SSL服务器。 这通常是一个HTTP服务器,它接受来自任何客户端的请求。 攻击者无法“读取”服务器与客户端之间交换的数据。 该客户POODLE_Client此处的POODLE_...
a2sv:自动扫描到SSL漏洞
02-06
自动扫描到SSL漏洞。 HeartBleed,CCS注入,SSLv3 POODLE,FREAK等 A.支持漏洞 - CVE-2007-1858] Anonymous Cipher - CVE-2012-4929] CRIME(SPDY) - CVE-2014-0160] CCS Injection - CVE-2014-0224] HeartBleed - ...
[20][03][18] Insecure Randomness
安全新司机
12-26 1144
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
SSL v2.0检测
芒果黑的博客
07-16 1198
SSLv2早就被证实是存在漏洞安全的,当前的浏览器都不支持SSLv2站点的访问。通过对站点SSLv2协议检测来判断该站点是否是安全的,在新版的opensslssl握手协议中也移除了SSLv2部分的内容,如果有用openssl来实现ssl v2的检测,只能用老版本。或者通过其他库来实现。查找了c/c++ ssl相关的库,如mbedtls、wolfSSL发现都不支持SSLv2的检测,其中mbedtls老版本是server端支持v2检测,client端不支持。通过网上查找,找到python的库是可以支持的,
druid-1.0.11.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
xmpcore-5.1.2.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
node-v4.6.2-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.2.0-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ECharts-2.2.7.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
validation-api-1.1.0.Final.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
node-v0.10.47-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
SSL/TLS 协议信息 泄露漏洞 (CVE 2016- 2183) 修复方法
05-19
CVE 2016-2183 是一个 OpenSSL 中的 SSL/TLS 协议信息泄露漏洞,攻击者可以通过中间人攻击获取 SSL/TLS 连接中的明文数据。该漏洞影响所有使用 OpenSSL 1.0.2h 版本及之前版本的软件。 要修复漏洞,建议升级 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值