Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
2023-09-14 09:09:36 时间
1.扫描
nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com
nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.baidu.com
sslscan www.baidu.com
git clone --depth 1 --branch 2.9.5 https://github.com/drwetter/testssl.sh.git
./testssl.sh --quiet www.baidu.com
./testssl.sh -c --quiet --html www.baiud.com
./testssl.sh -c --quiet --log www.baidu.com
./testssl.sh --quiet -U www.baidu.com
参数说明:
-b,-v:这2个是显示版本的testssl自身的信息
-V:输出现有的本机密码套件列表
-t(--startssl):指明要测试的协议:
https ,ftp,smtp,pop3,imap,xmpp,telnet,ldap,postgres,mysql,
其中 telnet,ldap,postgres ,mysql 这4个协议要指定openssl
--mode < serial| parallel> 模式,默认是串行模式,若多核CPU大规模测试可选并行
--parallel:选项启用并行测试 (默认是串行),等同于 --mode parallel
-e:测试每个密码套件
-E:测试每个协议(SSL2 SSL3 TLS1 TLS1.1 TLS1.2
)
-s (--std):测试加密强度很高的一些密码套件
-p(--protocols ) :测试每个TLS与SSL协议 并且检测 spdy 与 http2
-S:测试并显示服务器端证书信息
-P:测试并显示服务器偏好(也就是服务器优先配置的TLS协议和密码套件)
-x( --single-cipher <pattern> ): 指定一个密码套件,也就是测试一下是否支持指定的这个套件
-c:测试客户端支持情况
-h (--header):测试是否支持 HSTS, HPKP, cookie ,ipv4 ,代理 ,安全头部等
-U:测试所有的漏洞
所有漏洞
-H, --heartbleed:tests for Heartbleed vulnerability
-I, --ccs, --ccs-injection:tests for CCS injection vulnerability
-T, --ticketbleed:tests for Ticketbleed vulnerability in BigIP loadbalancers
-R, --renegotiation:tests for renegotiation vulnerabilities
-C, --compression, --crime:tests for CRIME vulnerability (TLS compression issue)
-B, --breach:tests for BREACH vulnerability (HTTP compression issue)
-O, --poodle:tests for POODLE (SSL) vulnerability
-Z, --tls-fallback:checks TLS_FALLBACK_SCSV mitigation
-W, --sweet32:tests 64 bit block ciphers (3DES, RC2 and IDEA): SWEET32 vulnerability
-A, --beast:tests for BEAST vulnerability
-L, --lucky13:tests for LUCKY13
-F, --freak:tests for FREAK vulnerability
-J, --logjam:tests for LOGJAM vulnerability
-D, --drown:tests for DROWN vulnerability
-f, --pfs, --fs, --nsa:checks (perfect) forward secrecy settings
-4, --rc4, --appelbaum:which RC4 ciphers are being offered?
-6:支持ipv6
--ip [one]: 直接测试ip所指向的地址,不使用DNS解析出来的ip地址; 参数one 是指使用NDS解析返回的第一个IP地址,因为很多站点会有多个IP,那么会重复测试多次。
-n (--nodns) :不使用DNS
--sneaky:在服务器端少留痕迹
--quiet:不输出banner
--fast:只显示第一个密码套件 与-P 合用
--log:输出文档(有默认名称)
--logfile:指定一个输出文档
--json:json格式的文档 (有默认名称)
--jsonfile:指定一个json格式文档
--csv:csv格式的文档 (有默认名称)
--csvfile:指定一个csv 格式文档
--html:html 格式文档 (有默认名)
--htmlfile:指定一个html文档
--append:允许追加
2.nginx ssl配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;
# 扫描SSL漏洞问题的主机 一个段
Heartbleed测试:nmap -sV -p 443 --script=ssl-heartbleed 192.168.1.0/24
k8s组件相关漏洞修复方案
相关文章
- Adobe Flash Player再曝高危漏洞
- ewebeditor漏洞利用总结
- Docker容器访问SQL Server 抛异常:SSL Provider, error: 31 - Encryption(ssl/tls) handshake failed
- 用哪种语言写的应用漏洞最严重?六大主流语言代码漏洞分析报告出炉
- 如何发现并处置越权漏洞? | FreeBuf甲方群话题讨论
- Chrome被爆严重零日漏洞,谷歌督促用户尽快更新
- 暴雷漏洞
- Linux升级SSL:安全保障网络安全(linux升级ssl)
- 如何在Linux系统中安装SSL证书(linux安装ssl证书)
- 一周开源新闻:Linux 杀毒软件发现的漏洞可使得黑客获得 root 权限
- Android NFC 漏洞可被黑客拿来传播植入恶意软件
- 浅谈zip格式处理逻辑漏洞
- PHP中的内存破坏漏洞利用(CVE-2014-8142和CVE-2015-0231)(连载之第一篇)
- 揭秘MySQL 5漏洞:埋藏在数据库中的安全风险(mysql5漏洞)
- MySQL中使用SSL出现问题的解决方法(mysql中ssl问题)
- 如何在MySQL中关闭SSL连接(mysql中ssl关闭)
- SSRF漏洞与Redis缓存引起的危机(ssrf与redis利用)
- MySQL 如何不使用SSL加密连接(mysql 不使用ssl)
- Oracle SSL 运行安全准备就绪(oracle ssl开启)