SSL/TLS 受诫礼攻击漏洞的问题的解决记录
服务器中使用tomcat作为应用服务器,然后检测出安全漏洞,需要去禁用RC4加密算法,并且另一个安全漏洞问题是SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱。
上面的安全漏洞的解决方案是:
(1)重新配置SSL/TLS,禁用RC4加密算法
(2)重新配置SSL/TLS,使用大于1024位的Diffie-Hellman公共密钥
这两个解决方案,很简单,只需要在tomcat中增加一段配置就可以。
下面是我在tomcat中的配置,tomcat的版本是apache-tomcat-7.0.90
在tomcat的conf目录下面的server.xml中增加下面的配置:
<Connector port="443" maxThreads="2000" protocol="org.apache.coyote.http11.Http11NioProtocol"sslProtocol="TLS" clientAuth="false"
URIEncoding="UTF-8" keystorePass="xxxx" keystoreFile="xxxxx"SSLEnabled="true" secure="true" scheme="https" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_
ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_
256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_
AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_
128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_
AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_
WITH_3DES_EDE_CBC_SHA"/>上面的配置是关于https的tomcat的配置中加入了解决安全漏洞的配置,如果不是使用的https,使用的是http,则直接将其中的
ciphers="......."和其中的内容直接复制到你的配置中就可以。(复制的时候,需要你填写自己的https的证书的位置和password,具体怎么配置https,请阅读我下一篇文章~~)
SSL/TLS 受诫礼攻击漏洞的问题的解决记录相关推荐
- NVE-01-2015-11090:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) [端口: 443]
漏洞标识 NVE-01-2015-11090 漏洞名称 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 漏洞类别 WEB服务器测试 发布日期 2015.03.3 ...
- SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南
漏洞信息 序号 漏洞类型 风险等级 漏洞主机( 操作系统及版本) 1 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞 中 linux 漏洞加固实施 漏洞1: ...
- SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
服务器被绿盟软件扫描出存在SSL/TLS漏洞, SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它 ...
- 主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
主机漏洞-RC4密码套件 验证方式:17 验证语句:openssl s_client -connect 网站地址 -cipher RC4 或者使用nmap进行测试 nmap -p 443 --scri ...
- 受诫礼漏洞_硬件漏洞,您如何才能正确地做所有事情并仍然受到损害
受诫礼漏洞 In the first week of 2018, Meltdown and Spectre were publicly disclosed. The news of these vul ...
- SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议
http://www.ijiandao.com/safe/cto/12195.html 0x01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁. 在新加坡 ...
- 关于精准打击自签名伪造SSL/TLS “受信任域名证书”的方案
目前有两种方法可以实现精准打击 "自签名伪造SSL/TLS "受信任域名证书" 1.普通人可以实现的精准打击方案. 当 "SSL/TLS" 数据经过您 ...
- 【安全牛学习笔记】CSRF跨站请求伪造攻击漏洞的原理及解决办法
CSRF跨站请求伪造攻击漏洞的原理及解决办法 CSRF,夸张请求伪造漏洞 漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理:浏览器同源策略 3.DEMO 4.漏洞危害 5.如何避免&修复 ...
- C#Post接口报错信息:基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系--安全证书问题 解决方法
目录 一.说明: 二.错误信息: 三.解决方法 1.引用命名空间: 2.添加接收方法(CheckValidationResult): 3.post方法里面增加调用:CheckValidationRes ...
- SSL/TLS Bar Mitzvah Attack 漏洞 [ 受诫礼(BAR-MITZVAH) ]
关于SSL/TLS最新漏洞"受戒礼"初步报告 文章: http://www.freebuf.com/articles/network/62442.html 做了详细的说明. 我的业 ...
最新文章
- 以太坊公链私链_如何使用以太坊构建汽车制造供应链系统
- 【EXLIBRIS】随笔记 001
- MySQL EXPLAIN Extra列的信息
- UVA690 Pipeline Scheduling 流水线调度
- oracle有时慢连接不上,Oracle 连接有时候慢,应用稍微一忙,偶尔出现连接失败 的故障解决过程...
- shouldComponentUpdate 的作用
- linux内核驱动中对字符串的操作【转】
- Tcp keepalive详解
- Coprime Sequence
- 201521123059 《Java程序设计》第三周学习总结
- 分布式系统的现代消息传递
- 破解“致得E6协同文档管理系统” 3.2.847版
- 邮箱哪个好用又安全?什么邮箱比较安全好用?
- 显卡使用信息nvidia-smi命令
- 程序员,请不要天天加班
- saf java_Android SAF实现外置SD卡的写入(JAVA层与JNI层hook)
- ES MQ canal同步mysql
- 莫瑞茨:怎样分辨只想暴富的人和真正希望创业的人
- IPSEC ×××连连看
- 关于数据跳线制作的标准规范的理解