系统安全检测及修复办法
漏洞介绍
SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞是由于https传输数据加密使用RC4加密算法,存在大约64个字节的明文数据会留给攻击者,存在的安全漏洞较高,主要是由于Web容器开启了SSL/TLS访问方式,并未屏蔽RC4加密算法的。
漏洞检测办法
查看网站是否为脆弱的RC4弱密钥攻击,你可以使用openSSL命令
openssl s_client -connect adobe.com:443 -cipher RC4
如果看到连接握手成功,可以看到证书信息则说明存在该风险漏洞,如果你看到” alert handshake failure”这句话就说明该网站是安全的。
我们也可以在线监测是否存在该漏洞,利用SSL Server Test--安全检测工具去测试你的https是否存在风险。https://www.ssllabs.com/ssltest/index.html
修复方案
打开Tomcat/conf/server.xml文件在https中进行修改。添加ciphers属性将需要应用的加密算法使用逗号分隔进行配置(剔除RC4加密算法)。使用该办法将RC4加密算法在https数据加密过程中排除在外。
重启服务器后即可生效。
查看openSSL支持加密算法
可以通过命令行查看openSSL支持的加密算法
openssl ciphers [-v] [-ssl2] [-ssl3] [-tls1] [cipherlist]
漏洞介绍
SSL/TLS存在FREAK攻击漏洞全称为Factoring RSA Export Keys,即分解RSA导出密钥攻击。该攻击利用废弃许久的“出口级”加密套件,目前仍有很多SSL/TLS服务器端及客户端仍然支持此类连接。利用该漏洞攻击者可以劫持存在漏洞的客户端与存在漏洞的服务端之间的会话,从而进行中间人攻击。
漏洞检测办法
检测网站是否存在漏洞编号为CVE-2015-0204的FREAK(疯怪)漏洞。可以使用在线SSL FREAK在线测试攻击。https://tools.keycdn.com/freak。
修复方案
OpenSSL官方已经在最新的版本中修复了该漏洞,安恒信息建议广大用户尽快将服务端更新到最新版的OpenSSL。
· OpenSSL的1.0.1的用户应该升级到1.0.2
· OpenSSL的1.0.0的用户应该升级到1.0.0p
· OpenSSL的0.9.8的用户应该升级到0.9.8zd
OpenSSL升级步骤
1、用openssl version -a命令查看版本号。
2、查看系统版本 more /etc/issue。
3、下载并安装最新版本openssl。
显示最新的OpenSSL版本信息
4、替换旧版OpenSSL。
5、配置库文件搜索路径。
6、测试新版本的OpenSSL是否正常工作。
检测修复结果
相关推荐
"信息安全技术Web应用安全检测系统安全技术要求和测试评价方法" 根据提供的文件信息,吾可以总结出以下知识点: 1. Web应用安全检测的重要性:随着互联网的普及和web应用的普及,Web应用安全检测变得日益重要。Web...
总结来说,Web系统安全和渗透性测试涉及到多个层面,包括安全编程、漏洞检测与利用、身份验证与授权、加密技术以及安全开发流程。理解并掌握这些知识点,是构建和维护安全Web环境的基础。对于任何组织来说,投入资源...
FSDP(可能是指某种安全检测或评估框架)列出了多个常见的Web安全问题,包括但不限于: - 会话标识未更新:当用户的会话状态发生变化时,未及时更新会话ID,可能导致会话劫持。 - 已解密的登录请求:明文传输用户...
《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》是针对当前互联网环境中Web应用安全问题的重要指导文档。这份资料详细阐述了保障Web应用安全的技术标准、安全要求以及相应的测试与评价方法,旨在...
随着网络攻击技术的不断升级,WEB开发中出现的安全漏洞给用户数据和系统安全带来了巨大威胁。因此,对这些漏洞进行识别和修复成为保障业务正常运行的关键。 1.2 FSDP安全漏洞清单 FSDP(Framework Security Defect ...
漏洞扫描是检测系统安全性的关键手段,它可以发现潜在的弱点,帮助管理员及时修复,防止恶意攻击。 **漏洞扫描的类型和技术** 1. **基于应用的检测技术**:通过非侵入式检查应用软件配置,识别安全漏洞,适用于...
该工具能够检测并修复`wamreg.dll`的问题,以恢复Web应用的正常运行。 4. **asptxn.dll修复**:`asptxn.dll`是ASP(Active Server Pages)处理事务的关键组件。如果这个文件出错,可能会影响ASP应用程序的事务处理...
它从总体脉络、安全域划分、网络安全配置、操作系统安全配置等多个角度出发,提供了一个全面的安全框架。这一章节不仅归纳了之前章节的内容,还进一步扩展了读者的安全视野,帮助其建立一个更完善的安全管理体系。
移动Web操作系统安全综述 随着移动设备的普及和互联网技术的发展,移动Web操作系统已经成为人们日常生活中不可或缺的一部分。这些操作系统不仅提供了丰富的应用服务,也面临着日益严峻的安全挑战。本文将深入探讨...
Web 漏洞检测及修复方案是指对 Web 应用程序的漏洞进行检测和修复,以确保 Web 应用程序的安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测和修复 Web 漏洞。 ...
Web安全性测试是针对Web应用程序进行的一种关键评估,旨在发现并修复潜在的安全漏洞,防止黑客攻击和数据泄露。由于Web应用在现代社会中的广泛应用,它们成为网络犯罪分子的主要目标。忽视安全测试可能导致用户数据...
检查服务器、数据库及其他组件的配置是否符合安全最佳实践,如防火墙设置、操作系统安全更新等。 3.7 应急响应与修复 建立安全事件响应机制,确保在发现安全问题后能迅速响应并修复。 综上所述,Web安全测试规范是...
熟练掌握这些工具的使用,能帮助安全人员更有效地检测和修复安全问题。 最后,书中提出了多种防御策略和最佳实践。这包括使用参数化查询防止SQL注入,对用户输入进行过滤和转义来抵御XSS,以及限制文件包含功能以...
- **简介**:Nikto 是一款开放源代码的 Web 服务器扫描工具,它可以检测多种 Web 服务器中存在的安全漏洞,包括但不限于 3500 多个潜在危险的文件/CGI、900 多种不同服务器版本的漏洞以及 250 多种针对特定服务器...
【信息安全系统安全管理制度】 在构建和维护一个稳定且安全的信息系统时,安全管理制度扮演着至关重要的角色。本制度主要关注三个关键领域:操作系统安全、数据库安全以及应用系统安全,这些都是保障商业资料安全的...
Web安全漏洞是指Web系统组件(如Web服务器、Web应用程序、数据库连接器和数据库)在设计、实现或安全策略上的缺陷,非法用户可以利用这些漏洞获取额外权限,破坏系统安全性。根据漏洞来源,可将其分为两大类:一类是...
基于Python-Django的多功能Web安全渗透测试工具设计源码(优质项目).zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
《代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的指导书籍,共计247页。这本书旨在帮助开发者、安全工程师以及IT专业人员理解和实施有效的代码审计策略,以保障Web应用程序的安全性。...