当前位置:首页 > 互联网杂谈 > 正文内容

SSL POODLE[贵宾犬]漏洞的解决办法

老威4年前 (2018-04-23)互联网杂谈98260

最近老威做了几个https协议的站,本来对ssl这东西不是很懂,全站重定向到https后,检测网站的时候出来一大堆漏洞,其中包括SSL POODLE,俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。虽然我做SEO的时间也不短了,但是安全这方面平时还真不怎么接触,这几天把ssl的漏洞研究了一个遍,还好没白下功夫,网站安全分数已经接近满分。

SSL POODLE漏洞怎么解决

如何检测网站漏洞

可以是通过https在线检测工具https://myssl.com/或者https://wosign.ssllabs.com/来进行检测。

SSL POODLE(贵宾犬)漏洞的修复措施:

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式(ps:套件版本过低可能会导致无法启用新型加密套件跟算法,请升级到最新版本)


Nginx服务器:

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;


apache服务器:

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL


Tomcat服务器:

(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                                TLS_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />


Tomcat 7 and later

  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />


使用apr的tomcat(windows环境路径请使用“\”)

<Connector port="443" maxHttpHeaderSize="8192"
              maxThreads="150"
               protocol="HTTP/1.1"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true"
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               SSLCertificateFile="conf/2_domian.com.crt"
               SSLCertificateKeyFile="conf/3_domian.com.key"
               SSLCertificateChainFile="conf/1_root_bundle.crt" />


IIS服务器:

使用我们的套件工具,按照如下图进行修复。

下载地址:

windows server 2008 http://www.wosign.com/download/IISCrypto.exe

windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe

备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012

SSL POODLE漏洞解决办法

本文为老威SEO博客原创文章,欢迎各位转载,转载请保留或注明出处!

扫描二维码至手机访问

扫描二维码推送至手机访问。

版权声明:本文由老威SEO发布,如需转载请注明出处。

转载请注明出处:http://www.lwseo.cn/hlw/80.html

分享给朋友:

相关文章

利用伪静态实现阿里云虚拟主机建立多个网站

利用伪静态实现阿里云虚拟主机建立多个网站

之前老威曾研究过如何用一个阿里云虚拟主机实现多个网站的访问,比如访问PC端是www.lwseo.cn,移动端可以跳转到m.lwseo.cn,访问不同的域名以及不同的页面,毕竟虚拟主机不像是服务器可以任...

[转]精益生产实施不成功的根源剖析与对策

[转]精益生产实施不成功的根源剖析与对策

精益生产实施不成功的根源剖析与对策蔡文欣  【摘要】:国内企业推行精益生产已有几十年的历史,但精益生产真正起作用的企业不多,能建立起精益生产系统的更鲜有耳闻。那么,中国企业推行精益生产为什么达不到预期...

火车采集器7.6版本闪退的解决办法

火车采集器7.6版本闪退的解决办法

老威最近在做几个站,因为数据量比较大,所以前期的东西都是要采集的,但是火车头采集器最近却一直闪退,采不了多少就崩溃一次,这让我很是烦躁,于是在网上找了几种方法,还真就找到了,分享给大家首先去火车头根目...

CentOS7下如何安装GUI图形界面

CentOS7下如何安装GUI图形界面

临毕业时候买的阿里云的学生机服务器一直没怎么用,然后最近想玩玩linux,把那个系统盘换成了CentOS系统的,安装CentOS7服务器版本的时候,系统默认是不会安装图形界面的,大学的时候用过红帽的,...

没有赚到5000万利润的小老板手动抄写并背诵【转自刘老板】

没有赚到5000万利润的小老板手动抄写并背诵【转自刘老板】

    1,小公司就是小公司,规定和制度是服务于业务的,太多规定、太多制度,就是老板带着HR和财务自嗨自恋,宁愿不要太多规矩,设定规矩前,扪心自问,要不要,最好不要,拿不准的全部不...

超实用的js代码混淆器

超实用的js代码混淆器

JS混淆工具/* 这个是一个类 */ function xx(num,str) { //说明 var a = num; this.aa = a; this.bb = function(...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。