脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复

这篇具有很好参考价值的文章主要介绍了脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:
httpd.conf
SSLProtocol -all +SSLv2
SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP

3、 如何建立一个仅接受强加密请求的SSL服务器:

如下设置为仅使用最强的七种密码算法:
httpd.conf
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM

4、 如何建立一个仅接受强加密请求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档中有详细说明。 简单地说就是:服务器拥有一个由来自Verisign的一个特殊的CA证书签发的服务器身份证, 从而在对外浏览器上实现强加密。 其过程如下:浏览器使用对外密码进行连接,服务器返回其全局ID身份证, 浏览器校验后在后继HTTP通讯产生之前提升其密码组。 现在的问题是:如何允许这样的提升,而又强制性地使用强加密。 换句话说就是:浏览器必须在开始连接时就使用强加密,或者提升到强加密, 但是维持对外密码是不允许的。以下巧妙地解决了这个问题:

httpd.conf

允许在初始握手阶段使用所有的密码,

以允许对外服务器通过SGC功能提升密码组

SSLCipherSuite
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Directory /usr/local/apache2/htdocs>

但是最终会拒绝所有没有提升密码组的浏览器

SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128

5、 如何建立接受所有类型密码的SSL服务器,但对特定的URL实施强加密:显然,不能使用服务器全局设置SSLCipherSuite,它会限制密码为强类型。 但是,mod_ssl允许重配置针对目录的密码组,并自动进行一个带有服从新配置的SSL参数的重协商。 因此,其解决方案成了:

httpd.conf

在一般情况下的处理是宽松的

SSLCipherSuite
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Location /strong/area>

但对于https://hostname/strong/area/ 及其以下的内容

要求强密码

SSLCipherSuite HIGH:MEDIUM

对于windos系统中,禁用SSL弱加密算法修复方案:

1、 windows server 2003注册表可能与以下的不同。解决方案:Windows Server 2008支持下列协议:•SSL 2.0 •SSL 3.0•TLS 1.0。Windows Server 2008 R2 和Windows 7 支持下列协议:•SSL 2.0 •SSL 3.0•TLS 1.0•TLS 1.1•TLS 1.2,对于服务器或客户端体系结构,可以禁用这些协议。这意味着可以省略该协议,或将其禁用。如果要禁用SSL-V2.0,采用如下方案:

SSL 2.0 的 服 务 器 计 算 机 上 的 注 册 表 位 置 如 下 所 示 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
(1)若要启用 SSL 2.0,请执行以下步骤: 1.在客户端计算机上,将DisabledByDefault DWORD 值设置为 00000000。 2.在服务器计算机上,将启用的 DWORD 值设置为 0xffffffff。 3.重新启动计算机。
(2)若要禁用 SSL 2.0,请执行以下步骤: 1.在客户端计算机上,将DisabledByDefault DWORD 值设置为 00000001。2.在服务器计算机上,将启用 DWORD 值设置为 00000000。 3.重新启动计算机。

1、 SCHANNEL 键部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。:

SCHANNEL 键位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
以下为常见的SCHANNEL键子项,包含弱加密算法的一些禁用方法:
(1)56/128 SCHANNEL\Ciphers\RC4 子项:RC4 64/128,若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

(2)56/128 SCHANNEL\Ciphers\RC2 子项:RC4 56/128,56 位 RC4 引用此注 册 表 项 。 若 要 允 许 此 密 码 算 法 , 更 改 到 已 启 用 值 的 DWORD 值 数 据0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

(3)SCHANNEL\Ciphers\RC2 56/56 子项:RC2 56/128,56 位 RC2 引用此注册表项。若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

同时每个成长路线对应的板块都有配套的视频提供:

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

因篇幅有限,仅展示部分资料

网络安全面试题

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

绿盟护网行动

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

还有大家最喜欢的黑客技术

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

网络安全源码合集+工具包

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
检测到目标主机加密通信支持的ssl加密算法,2024年程序员学习,ssl,网络协议,网络

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-P2Znzn5K-1712645896083)]文章来源地址https://www.toymoban.com/news/detail-849964.html

到了这里,关于脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SSL弱加密算法的漏洞研究

    一、什么是 SSL SSL 代表 安全套接字层 。 它是一种用于 加密和验证 应用程序(如浏览器)和 Web 服务器之间发送的 数据的协议 。 身份验证 , 加密 Https 的加密机制是一种 共享密钥加密 和 公开密钥加密 并用的混合加密机制。 二、SSL/TLS 协议作用 认证用户和服务,加密数据

    2024年01月17日
    浏览(37)
  • SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】修复方案

    SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了RC4算法,修改配置文件就可以了 1.使用nmap扫描出来: nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用绿盟扫描 扫描出来显示CVE-2013-2566 apache: 1.禁止apache服务器使用RC4加密算法 2.重启apache服务 Nginx: 1.禁

    2024年02月16日
    浏览(46)
  • 【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】

    1丶漏洞报告如下图所示 : 2丶修复漏洞流程如下 : (1)丶cmd 打开 - 终端 - 输入: gpedit.msc - 回车打开 - 本地组策略编辑器 (2)丶计算机配置-管理模板-网络-SSL配置设置 (3)丶双击 - SSL 密码套件顺序 (4)丶选择 - 已启用 - 修改SSL密码套件 - 应用 - 确定 3丶注意事项 配置完成之后需重启服

    2024年02月13日
    浏览(78)
  • Windows Server 2008或2012 修复CVE-2016-2183(SSL/TLS)漏洞的方法

    Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。 例如如下漏洞: 1、登录服务器,打开windows powershell,运行gpedit.msc,打开“本地组策略编辑器”。

    2024年02月12日
    浏览(40)
  • FISCO BCOS十三、通过Truffle和remix实现合约自毁漏洞(以及修复方法)

    上一篇我写了通过Truffle和remix复现智能合约的溢出漏洞(以及修复方法),这一篇让我们来了解一下合约另外一个漏洞--自毁漏洞。 我们先来了解 solidity 中能够转账的操作都有哪些: transfer :转账出错会抛出异常后面代码不执行; send :转账出错不会抛出异常只返回 true/f

    2024年03月16日
    浏览(65)
  • SSL/TLS类漏洞验证与修复

    近期工作中总会遇到一些关于SSL/TLS类的漏洞被扫描工具扫除来,就翻阅网络上关于这类漏洞的成因与验证方法做一些总结,便于日后翻阅。 扫描的漏洞类似这样: SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】  SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】 本文

    2024年04月25日
    浏览(31)
  • 高级DBA带你处理Mysql数据库漏洞修复方法以及升级版本方法指南最详细全网唯一

    日常运维实际工作中,经常碰到密评风险漏洞生产环境扫描出很多数据库漏洞,要求整改 MYSQL数据库整改方法就是升级版本,升更高版本就自动修复了上图的漏洞,能确保正常过风险评估。下文叙述了升级方法。 升级规范 5.7x升级5.7X 比如5.7.22升级5.7.36(5.7版本官方也一直在

    2024年02月06日
    浏览(89)
  • 漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

    1.查看当前openssl版本       我线上版本是   OpenSSL 1.0.2k-fips 26 Jan 2017  官网下载最新版本 【当前我下载的版本为 openssl-1.1.1q】 2.将压缩包上传到linux服务器     tar -zxvf openssl-1.1.1q.tar.gz 3.编译安装 4. 移除老版本openssl 5. 查看版本 openssl version 报错    openssl: error while loadi

    2024年02月16日
    浏览(50)
  • 【CVE-2015-2808】SSL/TLS漏洞修复

    SSL/TLS 存在Bar Mitzvah Attack漏洞 详细描述:该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法: 1、服务器端禁止使用RC4加密算法。

    2024年02月13日
    浏览(54)
  • Windows Server 远程桌面 SSL/TLS 漏洞修复

     Windows Server 远程桌面服务 SSL 加密默认是开启的,且有默认的 CA 证书。由于 SSL/TLS 本身存在漏洞,在开启远程桌面服务时,安全检测机构会报存在 SSL/TLS 漏洞。     修复过程如下: 1、运行“gpedit.msc”,打开“本地组策略编辑器”。 2、“计算机配置” → “管理模板” →

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包