如何防护SSL V3.0漏洞
2014-10-15 16:38
232 查看
我们刚刚从 OpenSSL官网了解到SSLv3 - Poodle 攻击,请广大用户注意,详细的信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf
该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。
沃通(WoSign)建议关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭。
关闭服务器SSLv3支持:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
关闭客户端SSLv3支持:
谷歌已表示chorme浏览器已经通过技术 手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉 SSL 3.0 支持的方法。
Windows
用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1
Mac OS
X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Linux
用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。
沃通(WoSign)建议关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭。
关闭服务器SSLv3支持:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
关闭客户端SSLv3支持:
谷歌已表示chorme浏览器已经通过技术 手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉 SSL 3.0 支持的方法。
Windows
用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1
Mac OS
X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Linux
用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
相关文章推荐
- 如何防护SSL V3.0漏洞
- MetInfo最新网站漏洞如何修复以及网站安全防护
- 如何利用IP安全管理策略进行安全漏洞防护
- VoIP的安全漏洞应如何防护
- 如何防止SQL注入漏洞
- 如何对PHP程序中的常见漏洞进行攻击
- 如何寻找WEB程序漏洞及如何利用和防范
- 如何对PHP程序中的常见漏洞进行攻击(下)
- 如何对PHP程序中的常见漏洞进行攻击(下)
- 如何对PHP程序中的常见漏洞进行攻击(下)
- 如何利用OutLook漏洞编写病毒脚本
- 如何对PHP程序中的常见漏洞进行攻击(上)第1/2页
- 如何对PHP程序中的常见漏洞进行攻击
- 如何对PHP程序中的常见漏洞进行攻击(上)
- 如何对PHP程序中的常见漏洞进行攻击(上)
- 安全防护技巧:如何判断你的电脑是否含病毒
- 跨站脚本执行漏洞详解与防护
- 漏洞还是黑洞,如何免费汇款