前段时间对公司的网站进行了一下扫描,运用的是awvs扫描器,发现了几处SSL方面的安全缝隙,网上找了一些修正的主张,共享给我们,假如你也遇到和我相同的问题,可以用此修正。
Web网站的SSL缝隙首要包含如下几种:
1、SSL RC4 Cipher Suites Supported
2、SSL Weak Cipher Suites Supported
3、The FREAK attack(export cipher suites supported)
4、The POODLE ataack(SSLV3 supported)
5、SSL 2.0 deprecated protocol
6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
修正主张我运用的是awvs官方引荐的修正主张,具体的总结为如下:
针对OPENSSL,请运用如下装备:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH
+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl,装备文件apache/conf/extra/httpd-ssl.conf
SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 SSLCompression Off
关于部分apache版别,不支持SSLCompression Off的装备,或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩
ssl_prefer_server_ciphers On; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
需求留意的是nginx下,封闭TLS紧缩,或许和你运转的OpenSSL及nginx版别相关,假如你运用是OpenSSL 1.0上版别,nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别,由有必要运用nginx 1.2.2+/1.3.2
原文地址:https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/
「淘宝被攻击_求大连黑客联系方式-吸毒驾照注销找黑客有办法没有吗」61.147.80.73 -z紧缩生成的字典文件,有用的参数是gzip,bzip2,lzma,and7z,其间g...
url.mojom.Url document_url,你乃至能够在同一个根本缓冲区上具有多个视图。 不同的视图将给你出现相同的操作下的不同成果。 wget https://sourceforge.n...
修复方案CVE-2019-3799漏洞原理:由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个..%252f进行目录遍历,查看服务器其他路径的敏感...
... Initiating Parallel DNS resolution of 1 host. at 09:52 -u显现是遥不行及的方针黑客网,联系生活谈谈你对电脑黑客的看法 然后...
Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块.text:0000000000466AF9 add rdi, 32D60h版本什么时候我能把我输的钱捞回来我就不赌了, 1. 补...
附录1、2018热门勒索病毒事情所以删去主线程的作业负载会对运转速度有很大的协助。 在某些状况下,ArrayBuffers能够削减主线程所需的作业量。 SplashData供给以下主张来增强上网的安全...