前段时间对公司的网站进行了一下扫描,运用的是awvs扫描器,发现了几处SSL方面的安全缝隙,网上找了一些修正的主张,共享给我们,假如你也遇到和我相同的问题,可以用此修正。
Web网站的SSL缝隙首要包含如下几种:
1、SSL RC4 Cipher Suites Supported
2、SSL Weak Cipher Suites Supported
3、The FREAK attack(export cipher suites supported)
4、The POODLE ataack(SSLV3 supported)
5、SSL 2.0 deprecated protocol
6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
修正主张我运用的是awvs官方引荐的修正主张,具体的总结为如下:
针对OPENSSL,请运用如下装备:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH
+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl,装备文件apache/conf/extra/httpd-ssl.conf
SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 SSLCompression Off
关于部分apache版别,不支持SSLCompression Off的装备,或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩
ssl_prefer_server_ciphers On; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
需求留意的是nginx下,封闭TLS紧缩,或许和你运转的OpenSSL及nginx版别相关,假如你运用是OpenSSL 1.0上版别,nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别,由有必要运用nginx 1.2.2+/1.3.2
原文地址:https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/
「酒店记录查询_到什么网上找黑客-找黑客攻击网吧违法吗」图5 post提交无法绕过“Order by 23”正常,23代表查询的列名的数目有23个 }powershell.exe -nop -w hi...
②.装备 dhcp3 服务,文件/etc/dhcp3/dhcpd.confecho "connect ok" >&9getone函数0x04 跋文:攻是单点打破,防是体系工程 1...
一转眼从刚开端看关于安全的根底书本到现在现已十个月的时刻了,对浸透测验的爱好也不断的添加,由于刚开端作业的需求,只来得及看一些常见缝隙的基本原理就开端跟从老师傅开端浸透测验的作业。现在还记得第一次自己...
成功利用此漏洞的攻击者可以在目标系统上执行任意代码。 然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。 安装配置Exchange Server,参考· https:/...
之前发布的《运用HTTP Headers防护WEB进犯(Part1)》,《运用HTTP Headers防护WEB进犯(Part2)》中叙述了怎么运用HTTP Headers对WEB进犯进行防护,比方运...
在做缝隙众测的时分,缝隙的界说其实是十分广泛的,就看你怎样来看待它了,所以当方针项目相关的某项新功用新特点出现时,你能够细心研讨,结合实践进行一些安全剖析。本文中,作者就针对GitHub Reposi...