网站SSL安全漏洞修正攻略

访客5年前黑客文章637

 前段时间对公司的网站进行了一下扫描,运用的是awvs扫描器,发现了几处SSL方面的安全缝隙,网上找了一些修正的主张,共享给我们,假如你也遇到和我相同的问题,可以用此修正。

Web网站的SSL缝隙首要包含如下几种:

1、SSL RC4 Cipher Suites Supported

2、SSL Weak Cipher Suites Supported

3、The FREAK attack(export cipher suites supported)

4、The POODLE ataack(SSLV3 supported)

5、SSL 2.0 deprecated protocol

6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability

修正主张我运用的是awvs官方引荐的修正主张,具体的总结为如下:

1、禁用SSL 2.0 and SSL 3.0

2、禁用 TLS 1.0 紧缩以及弱暗码

3、针对不同的web Server修正如下装备

针对OPENSSL,请运用如下装备:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH

+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5

Apache服务器装备攻略(mod_ssl):

适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl,装备文件apache/conf/extra/httpd-ssl.conf

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
SSLCompression Off

需求留意的是Redhat系列的Linux版别,或许要做如下装备:

关于部分apache版别,不支持SSLCompression Off的装备,或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩

Nginx服务器装备攻略:

ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;

需求留意的是nginx下,封闭TLS紧缩,或许和你运转的OpenSSL及nginx版别相关,假如你运用是OpenSSL 1.0上版别,nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别,由有必要运用nginx 1.2.2+/1.3.2

原文地址:https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/

相关文章

广州黑客接单_黑客帝国和黑客有什么联系-网上找黑客盗取微信可靠没

[1][2]黑客接单渠道前语:试验环境Level GoalNOTICE: CREATE TABLE will create implicitsequence "email_templates_id_s...

浅谈XXE进犯

现在越来越多首要的web程序被发现和陈述存在XXE(XML External Entity attack)缝隙,比方说facebook、paypal等等。 举个比方,咱们扫一眼这些网站最近奖赏的缝隙,...

黑客入侵_黑客怎么找某人信息-怎么找黑客破qq密码

亲们想得太单纯了!!!编译 | 创宇智库 PPT美化大师黑客入侵,黑客怎么找某人信息 验证码图画处理所谓SQL注入,便是经过把SQL指令刺进到Web表单提交或输入域名或页面恳求的...

谁能知道电脑黑客高手联系方法

远程桌面服务 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EA with Z...

黑客接单攻击服务器_怎么找黑客帮我做事

经过OlympicDestroyer的工作,咱们发现了一个与Sofacy和BlackEnergy相关的新式安排,咱们称之为Hades。 在后续,咱们还将继续重视这些假装保护的展开状况,以及歹意安排怎么...

黑客接单靠谱吗_找黑客改成绩什么罪-去哪里找黑客

「黑客接单靠谱吗_找黑客改成绩什么罪-去哪里找黑客」……if ($stmt = $db->prepare($query) ) XSS进犯要求站点承受歹意代码,而关于CSRF进犯来说,歹意代...