WEB系统安全检测及修复办法

系统安全检测及修复办法

 

漏洞介绍

SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞是由于https传输数据加密使用RC4加密算法，存在大约64个字节的明文数据会留给攻击者，存在的安全漏洞较高，主要是由于Web容器开启了SSL/TLS访问方式,并未屏蔽RC4加密算法的。

 

漏洞检测办法

查看网站是否为脆弱的RC4弱密钥攻击，你可以使用openSSL命令

openssl s_client -connect adobe.com:443 -cipher RC4

 

如果看到连接握手成功，可以看到证书信息则说明存在该风险漏洞，如果你看到” alert handshake failure”这句话就说明该网站是安全的。

 

我们也可以在线监测是否存在该漏洞，利用SSL Server Test--安全检测工具去测试你的https是否存在风险。https://www.ssllabs.com/ssltest/index.html

 

 

修复方案

打开Tomcat/conf/server.xml文件在https中进行修改。添加ciphers属性将需要应用的加密算法使用逗号分隔进行配置(剔除RC4加密算法)。使用该办法将RC4加密算法在https数据加密过程中排除在外。

 

重启服务器后即可生效。

 

查看openSSL支持加密算法

可以通过命令行查看openSSL支持的加密算法

openssl ciphers [-v] [-ssl2] [-ssl3] [-tls1] [cipherlist]  

 

 

漏洞介绍

SSL/TLS存在FREAK攻击漏洞全称为Factoring RSA Export Keys，即分解RSA导出密钥攻击。该攻击利用废弃许久的“出口级”加密套件，目前仍有很多SSL/TLS服务器端及客户端仍然支持此类连接。利用该漏洞攻击者可以劫持存在漏洞的客户端与存在漏洞的服务端之间的会话，从而进行中间人攻击。

 

漏洞检测办法

检测网站是否存在漏洞编号为CVE-2015-0204的FREAK（疯怪）漏洞。可以使用在线SSL FREAK在线测试攻击。https://tools.keycdn.com/freak。

 

修复方案

OpenSSL官方已经在最新的版本中修复了该漏洞，安恒信息建议广大用户尽快将服务端更新到最新版的OpenSSL。

·  OpenSSL的1.0.1的用户应该升级到1.0.2

·  OpenSSL的1.0.0的用户应该升级到1.0.0p

·  OpenSSL的0.9.8的用户应该升级到0.9.8zd

OpenSSL升级步骤

1、用openssl version -a命令查看版本号。

 

2、查看系统版本 more /etc/issue。

 

3、下载并安装最新版本openssl。

 

显示最新的OpenSSL版本信息

 

4、替换旧版OpenSSL。

 

5、配置库文件搜索路径。

 

6、测试新版本的OpenSSL是否正常工作。

 

检测修复结果