摘要:详细描述该漏洞是由功能较弱而且已经过时的加密算法中一个问题所导致的。它能够在某些情况下泄露加密流量中的密文,从而将账户用户名密码信用卡数据和其他敏感信息泄露给黑客。解决办法服务器端禁止使用加密算法。客户端应在浏览器配置中禁止。
其实这个漏洞原理我也没怎么看明白,原理及详细介绍请看文末的链接。
该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。
1、服务器端禁止使用RC4加密算法。
2、客户端应在浏览器TLS配置中禁止RC4。
3、临时修复方案
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
需要重启apache服务
/etc/init.d/httpd restart
根据SSL/TLS 存在Bar Mitzvah Attack漏洞原理,通过跟目标站点进行SSL握手并根据目标站点返回的Server Hello消息中的加密算法进行漏洞验证。
在线监测是否存在该漏洞
https://myssl.com/ssl.html
漏洞详情参考链接
https://www.sobug.com/article/detail/17
不管你是小白还是工作已久不管你在面试还是已跳槽,都应该好好看看这份资料真的超级超级全面几乎打败了市面上90%的自学资料并覆盖了整个网络安全 来 肝了它!肯定会对你有帮助!
2021最新整理网络安全/渗透测试/运维安全学习资料(全套视频、大厂面经、精品手册。必备工具包)
网络安全面试题
SRC技术文档(共186页)干货满满!!
工具包(最多,不用费劲搜索)
点击下方加关注后台回复“渗透测试”免费领⑧
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121464.html
摘要:以下根据,介绍协议组成协议由两层构成和。消息的传输包括了基于密钥的消息认证码,使用安全函数计算,用于完整性检查。用于封装多种高层的协议,其中一个种就是,这种协议允许客户与服务器相互认证,在应用程序通信前,协商加密算法和加密密钥。 作者:drinkey 以前读RFC时总结的一篇文章,主要介绍了SSL/TLS协议的相关知识,包括协议本身以及简单的密码学概念,以及用实例解析了HTTP ov...
摘要:以下根据,介绍协议组成协议由两层构成和。消息的传输包括了基于密钥的消息认证码,使用安全函数计算,用于完整性检查。用于封装多种高层的协议,其中一个种就是,这种协议允许客户与服务器相互认证,在应用程序通信前,协商加密算法和加密密钥。 作者:drinkey 以前读RFC时总结的一篇文章,主要介绍了SSL/TLS协议的相关知识,包括协议本身以及简单的密码学概念,以及用实例解析了HTTP ov...
摘要:安全之中间人攻击漏洞概述,是一种网络安全传输协议,利用来对数据包进行加密以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。在方法中使用,信任所有,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。 Android安全之Https中间人攻击漏洞 0X01 概述 showImg(https://segmentfault.com/img/bVDim6?w=288&h=101);...
摘要:原文阅读部署数字证书及安全性设置作为最常见的一种服务器,其普及度易用性及稳定性都非常高,也可以部署基于的安全服务器,本文介绍如何在上部署签发的数字证书。将提交给申请证书,将私钥自行妥善保管。 原文阅读:Apache 部署SSL数字证书及安全性设置 showImg(https://segmentfault.com/img/bV9FqW?w=1600&h=837); Apache作为最常见...
阅读 1050·2021-11-16 11:45
阅读 2077·2021-11-02 14:40
阅读 3434·2021-09-29 09:34
阅读 1538·2021-09-29 09:32
阅读 3659·2021-09-24 10:25
阅读 2889·2019-08-30 12:45
阅读 1048·2019-08-29 18:39
阅读 2356·2019-08-29 12:32