前段时间对公司的网站进行了一下扫描,运用的是awvs扫描器,发现了几处SSL方面的安全缝隙,网上找了一些修正的主张,共享给我们,假如你也遇到和我相同的问题,可以用此修正。
Web网站的SSL缝隙首要包含如下几种:
1、SSL RC4 Cipher Suites Supported
2、SSL Weak Cipher Suites Supported
3、The FREAK attack(export cipher suites supported)
4、The POODLE ataack(SSLV3 supported)
5、SSL 2.0 deprecated protocol
6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
修正主张我运用的是awvs官方引荐的修正主张,具体的总结为如下:
针对OPENSSL,请运用如下装备:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH
+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl,装备文件apache/conf/extra/httpd-ssl.conf
SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 SSLCompression Off
关于部分apache版别,不支持SSLCompression Off的装备,或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩
ssl_prefer_server_ciphers On; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
需求留意的是nginx下,封闭TLS紧缩,或许和你运转的OpenSSL及nginx版别相关,假如你运用是OpenSSL 1.0上版别,nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别,由有必要运用nginx 1.2.2+/1.3.2
原文地址:https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/
因为Chrome含有许多有状况的API,因而,在代码检查期间,人工检查这些API的话,难度非常大,这使得针对这些API的含糊测验技能,很简单找到有价值的缝隙。 在这方面,一个很好的比如便是AppCac...
什么是 AFLSmart SetSpawningHostId set_spawning_host_id = 4;24、password1 (新呈现)AFLSmart上赌钱输了三万多,现在一分钱都没有了...
大灰狼运用了不少闻名软件图标,在此提示网民在点击运转可疑来历的文件之前,最好检查特点经过数字签名判别文件真伪,而不要被文件名和图标利诱:别的一个层面,智能硬件职业各个厂商对安全的注重令人堪忧。 作为无...
「黑客接单平台_黑客双宝来袭找爹地-黑客 通过qq号 找手机软件」Cisco Adaptive Security Appliance (ASA) Software在Clientless SSL VPN...
在2018年7月中旬,Managed Defense承认了针对同一职业的相似针对性要挟活动。 该进犯者运用盗取的凭证和运用CVE-2017-11774(RULER.HOMEPAGE)缝隙的RULER模...
Powered by: vBulletin Version 3.0.1and (select count(*) from admin)>0鳄鱼小调皮爱洗澡 1.13.02014/3/13 15:...