服务器支持低版本SSL/TLS协议 支持SSL弱密码套件

最新推荐文章于 2024-07-07 12:56:10 发布
最新推荐文章于 2024-07-07 12:56:10 发布
阅读量6.9k 收藏 1
点赞数 1
分类专栏: 常见漏洞描述、漏洞影响及修复建议 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45596492/article/details/123715199
版权

服务器支持低版本SSL/TLS协议

漏洞描述

在测试中发现服务器支持低版本的 TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。

漏洞影响

TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看:

https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/

修复建议

可参考如下链接进行配置:

https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/

支持SSL弱密码套件

漏洞描述

为了保证数据传输的安全,TLS/SSL使用一个或多个密码套件。密码套件是认证、加密和消息认证码(MAC)算法的组合,它们在协商TLS/SSL连接的安全设置以及数据传输时使用。我们在测试中发现服务器支持部分旧的或过时的密码套件,这些密码套件应该禁止使用。

漏洞影响

这些密码套件通常容易受到攻击,如果你使用它们,攻击者可能会拦截或修改传输中的数据。

修复建议

根据你的业务使用情况(例如需要支持旧版浏览器和监管要求),你可能需要使用略有不同的密码套件配置。你可以根据实际情况,使用Mozilla SSL配置生成器来获得一个最佳的TLS配置,使用不同的浏览器配置文件。链接如下:

https://mozilla.github.io/server-side-tls/ssl-config-generator/
你也可以参考acunetix的推荐配置,链接如下:

https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/

贾克斯的灯
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
1. **禁用不安全协议和算法**:IISCrypto允许用户禁用如SSL 2.0、SSL 3.0以及TLS版本,这些版本存在已知的安全问题,容易受到攻击。 2. **启用最佳实践**:工具提供一键式“最佳实践”设置,按照业界公认的最...
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8701
下面是由AppScan测试工具所扫描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话(SSL)Cookie中缺少Secure属性 2.检测到密码套件:不支持完全前向保密、密码套件-ROBOT 攻击: 服务器支持易受攻击密码套件、检测到SHA-1密码套件(这里前端请求使用的是https,http请求请忽略) 3
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
Gblfy_Blog
02-18 2511
netstat -apn | grep 41148 ps -ef | grep 2376 netstat -apn | grep 41148 二、Linux 1、查询8080端口是否被占用,并可以查看pid/程序名 netstat -apn | grep 8080Q 2、查看详细信息 ps -ef | grep PID 3、终止该进程 kill -9 PID ...
SSL-TLS安全漏洞及SLB安全漏洞问题
m0_59598029的博客
04-21 1781
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
检测到密码:并非所有密码套件支持完全前向保密解决方案
最新发布
刘元林的博客
07-07 852
HTTP 协议自身没有加密机制,但可以通过与 TLS (Transport Layer Security) / SSL (Secure Socket Layer) 组合使用,加密 HTTP 的通信内容,借助 TLS / SSL 提供的信息加密功能、完整性校验功能、身份验证功能保障网络通信的安全,与 TLS / SSL 组合使用的 HTTP 被称为 HTTPS(HTTPSecure),可以说 HTTPS 相当于身披 SSL / TLS 外壳的 HTTP。传输层安全协议
漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】(一)
xiangjai的专栏
07-04 3921
环境 当前系统 当前openssl 版本 openssl和gcc下载地址 安装gcc(root权限) 安装openssl(root权限) 安装 移除老版本openssl 配置lib库 查看版本
服务器——SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复办法
xhy1999的博客
11-17 7980
近期某台Windows Server服务器的远程连接端口(3389)被扫出了SSL/TLS协议信息泄露漏洞(CVE-2016-2183),尝试了网上很多复制来复制去的"解决方法",直接导致堡垒机连不上服务器,每次连不上服务器又得去找服务器提供方,真的非常麻烦,在此不得不吐槽一下某些不负责任的复制粘贴,同时,记录下真正的解决方案以供大家参考。
TLS 各种加密套件
热门推荐
weixin_43408952的博客
05-11 1万+
TLS 各种加密套件说明
国密套件ECC-SM2-SM4-CBC-SM3和ECDHE-SM2-WITH-SM4-SM3
Java学习笔记
11-17 1238
双方交换各自的公钥,最后A计算点(x1,y1) = d1Q2,B计算点(x2,y2) = d2Q1,由于椭圆曲线上是可以满足乘法交换和结合律,所以 d1Q2 = d1d2G = d2d1G = d2Q1 ,因此双方的 x 坐标是一样的,所以它是共享密钥,也就是会话密钥。4、客户端和服务端分别使用工作密钥,计算主密钥,客户端随机数,服务端随机数,字符串常量"key expansion",经PRF计算生成工作密钥。工作密钥包括加密密钥和校验密钥,具体密钥长度由选择的密码算法决定。客户端支持的压缩算法列表。
ssl加密算法套件检测工具
01-18
该工具适用于安全渗透测试人员,可以用来检测加密算法套件
ssl_android.zip_TLS_android_android ssl_application_ssl/tls
09-20
2. **禁用不安全协议密码套件**:移除不再安全SSL/TLS协议(如SSLv3)和密码套件,避免使用加密。 3. **定期更新信任的根证书**:定期检查并更新应用的信任根证书列表,确保能识别新的合法证书颁发机构。 ...
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
8. **TLS/SSL安全挑战**:如BEAST、CRIME、POODLE等攻击方法,以及对加密套件的利用,都是SSL/TLS协议面临的安全威胁。 9. **证书管理**:了解如何获取、安装和管理SSL/TLS证书,以及处理证书过期、吊销等问题...
android版本对tls支持,Android TLS 版本过低造成的问题
weixin_42319865的博客
05-26 2316
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于集成的 SSL 库版本不同,不同 Android 版本的默认 SSL/TLS 版本配置如下表:ProtocolSupported (API Levels)Enabled by default (API Levels)SSLv31–TBD1–22TLSv11+1+TLSv1.120+20+TLSv1.220+20+An...
linux查看支持TLS密码套件
qq_34454820的博客
03-06 2685
您可以使用OpenSSL工具来查看Linux系统支持TLS密码套件列表。该命令将显示您的Linux系统支持的所有TLS密码套件的列表。
信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
03-03 1036
经过对该部门应用系统漏洞扫描工作开展,发现高风险漏洞0项,中风险漏洞1项,低风险漏洞11项。业务部门对于中高风险漏洞按照专业安全测评公司建议及时修改,修改后我们及时开展二次漏洞扫描工作。确保应用系统漏洞控制在安全法规要求之内,确保信息与数据安全。@漏刻有时。
关于Windows Server 服务器 解决主机漏洞初略指南 (CVE-2015-1635 | CVE-2012-0002 | CVE-2012-0152 | CVE-2017-0144) 等
yang5867331123的博客
06-30 6160
????背景: 亚信/绿盟网络安全公司,对我司实际生产环境服务器,进行渗透测试/漏洞扫描 类别 风险名称 CVE 主机漏洞 MS15-034 HTTP.sys 远程代码执行漏洞(远程检查) CVE-2015-1635 主机漏洞 Microsoft远程桌面协议远程执行代码漏洞(2671387) CVE-2012-0002, CVE-2012-0152 主机漏洞 Microsoft Windows SMB服务器多个漏洞 - 远程(4013389) CVE-2017-0143, CVE-2
TLS/SSL 协议详解 加密套件的选择
小x的博客
04-19 2460
当一个SSL请求发送到服务器,由于SSL的client hello中有自己支持的所有加密套件服务器需要选择。 服务器在选择算法时,会有优先级,是以客户端提供的的为最优,还是服务器端配置的为最优。 所谓客户端最优,就是服务端根据客户端提供的加密套件,从上到下,看是否有本地(服务端)支持的,有的话则使用。 所谓服务器端最优,就是服务器端根据自身配置的加密套件顺序,一个个在client hello中找,找到了就使用。 其次 当服务器配置ECC证书时,加密套件只能选择XXX_ECDSA_XXX或者ECDH_XXX
如何确认确认目标服务器是否支持 SSL/TLS 协议,以及支持的版本和加密套件是否与客户端兼容
05-12
要确认目标服务器是否支持 SSL/TLS 协议,可以通过以下步骤: 1. 使用 openssl 工具连接目标服务器,并尝试建立 SSL/TLS 连接,例如: ``` openssl s_client -connect example.com:443 ``` 如果连接成功,则表示服务器支持 SSL/TLS 协议。 2. 通过 SSL/TLS 握手过程获取服务器支持协议版本和加密套件信息,例如: ``` openssl s_client -connect example.com:443 -tls1_2 -cipher ECDHE-RSA-AES256-GCM-SHA384 ``` 上述命令中,`-tls1_2` 表示使用 TLS 1.2 协议连接,`-cipher ECDHE-RSA-AES256-GCM-SHA384` 表示使用 ECDHE-RSA-AES256-GCM-SHA384 加密套件连接。如果连接成功,则表示服务器支持相应的协议版本和加密套件。 要确认服务器支持的版本和加密套件是否与客户端兼容,可以参考 SSL/TLS 协议支持矩阵,或者使用 SSL/TLS 测试工具,例如 Qualys SSL Labs 的 SSL Server Test。这些工具可以测试服务器SSL/TLS 配置,并给出相应的评估报告,包括支持协议版本和加密套件,以及安全性评估等信息。根据评估报告,可以判断服务器的配置是否与客户端兼容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值