资讯专栏INFORMATION COLUMN

SSL/TLS 存在Bar Mitzvah Attack漏洞

doodlewind / 1537人阅读

摘要:详细描述该漏洞是由功能较弱而且已经过时的加密算法中一个问题所导致的。它能够在某些情况下泄露加密流量中的密文,从而将账户用户名密码信用卡数据和其他敏感信息泄露给黑客。解决办法服务器端禁止使用加密算法。客户端应在浏览器配置中禁止。

其实这个漏洞原理我也没怎么看明白,原理及详细介绍请看文末的链接。

?详细描述

该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。

?解决办法

1、服务器端禁止使用RC4加密算法。
2、客户端应在浏览器TLS配置中禁止RC4。
3、临时修复方案

  • 禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

需要重启apache服务

/etc/init.d/httpd restart

?验证方法

根据SSL/TLS 存在Bar Mitzvah Attack漏洞原理,通过跟目标站点进行SSL握手并根据目标站点返回的Server Hello消息中的加密算法进行漏洞验证。

?SSL状态检测

在线监测是否存在该漏洞

https://myssl.com/ssl.html



漏洞详情参考链接

https://www.sobug.com/article/detail/17

?网络安全2021必备资料&渗透测试&面试

不管你是小白还是工作已久不管你在面试还是已跳槽,都应该好好看看这份资料真的超级超级全面几乎打败了市面上90%的自学资料并覆盖了整个网络安全 来 肝了它!肯定会对你有帮助!

2021最新整理网络安全/渗透测试/运维安全学习资料(全套视频、大厂面经、精品手册。必备工具包)

网络安全面试题


SRC技术文档(共186页)干货满满!!

工具包(最多,不用费劲搜索)


点击下方加关注后台回复“渗透测试”免费领⑧

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/121464.html

相关文章

  • SSL/TLS 协议简介与实例分析

    摘要:以下根据,介绍协议组成协议由两层构成和。消息的传输包括了基于密钥的消息认证码,使用安全函数计算,用于完整性检查。用于封装多种高层的协议,其中一个种就是,这种协议允许客户与服务器相互认证,在应用程序通信前,协商加密算法和加密密钥。 作者:drinkey 以前读RFC时总结的一篇文章,主要介绍了SSL/TLS协议的相关知识,包括协议本身以及简单的密码学概念,以及用实例解析了HTTP ov...

    xiangchaobin 评论0 收藏0
  • SSL/TLS 协议简介与实例分析

    摘要:以下根据,介绍协议组成协议由两层构成和。消息的传输包括了基于密钥的消息认证码,使用安全函数计算,用于完整性检查。用于封装多种高层的协议,其中一个种就是,这种协议允许客户与服务器相互认证,在应用程序通信前,协商加密算法和加密密钥。 作者:drinkey 以前读RFC时总结的一篇文章,主要介绍了SSL/TLS协议的相关知识,包括协议本身以及简单的密码学概念,以及用实例解析了HTTP ov...

    Mike617 评论0 收藏0
  • Android安全之Https中间人攻击漏洞

    摘要:安全之中间人攻击漏洞概述,是一种网络安全传输协议,利用来对数据包进行加密以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。在方法中使用,信任所有,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。 Android安全之Https中间人攻击漏洞 0X01 概述 showImg(https://segmentfault.com/img/bVDim6?w=288&h=101);...

    dabai 评论0 收藏0
  • 网络与安全

    摘要:面试网络了解及网络基础对端传输详解与攻防实战本文从属于笔者的信息安全实战中渗透测试实战系列文章。建议先阅读下的网络安全基础。然而,该攻击方式并不为大家所熟知,很多网站都有的安全漏洞。 面试 -- 网络 HTTP 现在面试门槛越来越高,很多开发者对于网络知识这块了解的不是很多,遇到这些面试题会手足无措。本篇文章知识主要集中在 HTTP 这块。文中知识来自 《图解 HTTP》与维基百科,若...

    Integ 评论0 收藏0
  • Apache 部署SSL数字证书及安全性设置

    摘要:原文阅读部署数字证书及安全性设置作为最常见的一种服务器,其普及度易用性及稳定性都非常高,也可以部署基于的安全服务器,本文介绍如何在上部署签发的数字证书。将提交给申请证书,将私钥自行妥善保管。 原文阅读:Apache 部署SSL数字证书及安全性设置 showImg(https://segmentfault.com/img/bV9FqW?w=1600&h=837); Apache作为最常见...

    cheukyin 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<