SSL密钥算法检测工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞

最新推荐文章于 2024-04-03 17:52:19 发布
最新推荐文章于 2024-04-03 17:52:19 发布
阅读量991 收藏
点赞数
分类专栏: 漏洞检测 Linux 文章标签: ssl 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44406011/article/details/131597290
版权

SSL密钥算法检测工具-sslciphercheck-SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞

文章目录

sslciphercheck

下载:https://github.com/woanware/woanware.github.io/blob/master/downloads/sslciphercheck.v.1.4.2.zip

运行:CMD-cd到下载包目录下

运行命令

sslciphercheck.exe -h ip(目标地址) -p 443

检测到支持的不安全的模块

漏洞:SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞

漏洞描述

该漏洞通过RC4的不变性弱密钥,允许攻击者在特地情况下还原加密信息中的纯文本,可能就会暴露帐户密码,信用卡数据,或其他敏感信息。

漏洞检测

如果能支持RC4加密套件,则存在此漏洞,不支持则无。
在这里插入图片描述
在这里插入图片描述openssl s_client -connect vpnsh-xtp.zts.com.cn:443 -cipher RC4
如果看到连接握手成功,可以看到证书信息则说明存在该风险漏洞
如果看到”alert handshake failure”这句话就说明该网站不存在此漏洞
在这里插入图片描述

修复建议

禁用RC4加密算法。

汪敏wangmin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2015-2808-SSL/TLS 存在Bar Mitzvah Attack漏洞
Amdy_amdy的博客
12-25 5590
SSL/TLS 存在Bar Mitzvah Attack漏洞(CVE-2015-2808) 详细描述 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS配置中禁止RC4。 检测方式: 这里使用PentestBox自.
禁用RC4算法,windows下SSL/TLS存在Bar Mitzvah Attack漏洞整改方法
06-11 6466
禁用RC4方法一: 在微软官网找到对应的系统补丁,安装: https://support.microsoft.com/zh-cn/help/2868725/microsoft-security-advisory-update-for-disabling-rc4 禁用RC4方法二: 修改注册表,没有的字段需要新建,如下: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC
TLS/SSL Sweet32 attackTLS/SSL Weak Cipher Suites漏洞检测及修复
最新发布
qq274575499的博客
04-03 1567
TLS/SSL Sweet32 attackTLS/SSL Weak Cipher Suites漏洞
ssl弱加密算法套件检测工具
01-18
该工具适用于安全渗透测试人员,可以用来检测弱加密算法套件,
如何实现ssl在握手阶段,可以精确控制选择何种算法进行协商
天下
10-14 993
       加密原理先暂且不详说,这次只是把如何实现这个控制加载何种算法思路大致说一下,大家都知道,客户端和服务端在进行正真的应用数据通信之前,需要建立tcp三次握手连接之后,还要进行握手协商,客户端会把自己支持的算法套件,产生的随机数,还有支持的版本号,发给对端,这个阶段称为hello阶段,,在这个阶段,我们就可以控制选择把何种支持的算法套件发给服务器,大致如下:算法都有一个唯一的ID,这是可...
mysql通过ssl的方式生成秘钥
热门推荐
csdn's blog
06-07 1万+
mysql ssl 生成秘钥 1 check ssl是否已经开启 mysql> show variables like '%ssl%'; +---------------+----------+ | Variable_name | Value | +---------------+----------+ | have_openssl | DISABLED | | have_ssl...
SSL密钥算法检测工具-sslciphercheck
Linfosheng1的博客
03-21 8320
SSL密钥算法检测工具-sslciphercheck sslciphercheck是一个简单的控制台应用程序,用作于检查SSL加密支持,C#开发,需要.net4.0。它不仅能够检索和提取证书中包含信息,而且支持Server Gated Cryptography (SGC),常用于检测SSLTLS协议检测 github地址:https://github.com/woanware/woanware....
脆弱的SSL加密算法测试
Bul1et的博客
11-20 1781
  第一种方法  安装sslciphercheck sslciphercheck.exe -h ip地址或者域名 -p 443 执行结果中需要看下 SSLv2 那块,如果是白色的 Unsupported 就是不支持的意思,如果是红色的 supported 就是存在问题,最后一栏 TLS 下面显示 256bit supported 的而且是绿色的,表明是支持的强加密方式。 第二种方法...
安全协议探测工具-sslciphercheck
dieman0446的博客
05-18 908
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为 网络通信提供安全及数据完整性的一种安全协议。TLSSSL在传输层对网络连接进行加密,而老旧的加密协议 可能会带来安全隐患,在freebuf上看到有人介绍过一款工具(sslciphercheck v1.4.2),拿来试试效果还不错。 ...
SSL/TLS Cipher Suites
顺其自然~专栏
02-25 3017
Cipher Suite 一个加密算法套件(CipherSuite)是一个四件套,由各类基础的加密算法组成,主要包含了四类: Key Exchange 密钥交换算法; Authentication 身份认证算法; Encryption 对称加密算法; Message Authentication Code 消息认证码算法(信息摘要缩放); 密钥交换算法 顾名思义,该算法用来交换秘钥。 SSL 通信过程(握手结束后)中,双方使用的是对称加密的方式 。由于通信双方以前并不知道彼此的存在,它们也
利用SSLsplit工具实现TLS/SSL中间人攻击 ARP欺骗
永远在奔跑的学习者
11-15 4466
SSLTLS中间人攻击 利用方法: ARP地址欺骗 修改DHCP服务器 (存在就近原则) 手动修改网关 修改DNS设置 修改HOSTS文件【高于DNS】 ICMP、STP、OSPF 中间人攻击前提 【以下某一条符合则可】 客户端已经信任伪造证书颁发机构(安装其根证书) 攻击者控制了合法证书颁发机构(控制CA服务器,为自己颁发证书) 客户端程序禁止了显示证书错误告警信息 (程序员个人能力有限) ...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SVD-TLS算法_SVD-TLS算法_
10-01
现代谱估计,运用一组观测数据(随机过程)去估计该数据的功率谱
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
Windows 2008、2012、2016 服务器版本 SSL/TLS协议信息泄露漏洞(CVE-2016-2183),SSL 配置工具
利用sniffer技术捕捉SSL通信时客户端证书公钥
gnn19820901的专栏
04-07 2199
摘要         通过对SSL握手协议的分析,得知在SSL双向认证握手过程中,客户端需要出示客户端证书以供服务器验证,利用sniffer技术截获网络通信过程中的TCP/IP数据包,通过对TCP/IP数据包的解析,获得客户端证书公钥。         关键字:sniffer,SSL 握手协议,TCP/IP, 证书公钥 相关工具:Ethereal:网络抓包工具,Ethere
脆弱的SSL加密算法问题
发哥微课堂
09-07 6952
0x00:漏洞介绍 脆弱的 SSL 加密算法也可以叫它 openssl 的 FREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低,就会存在这个 SSL 弱加密问题。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3...
web渗透--34--脆弱的通信加密算法
武天旭的博客
09-17 5464
1、漏洞名称: 弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、openssl的FREAK Attack漏洞 2、漏洞描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆弱。黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使...
SSL支持的认证密钥交换方法
JC_WorkSpace的专栏
06-01 3688
SSL支持的认证密钥交换方法   一共有5中方法: 一、RSA: a)        服务端在发送certificate message时,包含服务端的一个X.509证书(用于验证服务端的RSA公钥);服务端不需要发送server_key_exchange;客户端产生pre_master_secret(次密钥)后,利用上述证书中的RSA公钥对其加密,并通过client_key_exchan
windows server cve-2016-2183 ssl/tls协议信息泄露漏洞修复脚本
05-01
CVE-2016-2183是一种SSL/TLS协议信息泄露漏洞,可能允许攻击者披露SSL/TLS连接的一些内容,包括密钥。为了缓解该漏洞的风险,需要使用Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本。 修复脚本本质上就是一些批处理命令,用于修改注册表以更改Windows服务器上SSL/TLS协议的配置。首先,需要下载修复脚本并保存为“fix.reg”文件。然后,跟随以下步骤修复漏洞: 1. 在管理员命令提示符中运行命令“regedit”打开注册表编辑器。 2. 导入修复脚本文件“fix.reg”。 3. 确认是否有一条类似于“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client”的新注册表密钥被添加,如果没有则手动创建。 4. 在该密钥中创建一个新DWORD值并将其命名为“DisabledByDefault”,将值设置为“1”以禁用该协议。 5. 重复步骤4以在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client”中禁用TLS 1.2协议。 执行以上步骤后,应该禁用了TLS 1.1和TLS 1.2协议。这有助于减少攻击者利用此漏洞的可能性,同时确保服务器上的SSL/TLS协议更加安全。请注意,对于不同版本和配置的Windows Server,此修复脚本可能会有所不同,建议参考相关产品文档或咨询专业人员实施修复措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪敏wangmin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值