Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦:路
-
1.扫描
-
-
nmap -sV --script ssl-enum-ciphers -p 443 www.百度.com
-
-
nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.百度.com
-
-
sslscan www.百度.com
-
-
git clone --depth 1 --branch 2.9.5 https://github.com/drwetter/testssl.sh.git
-
-
./testssl.sh --quiet www.百度.com
-
-
./testssl.sh -c --quiet --html www.baiud.com
-
-
./testssl.sh -c --quiet --log www.百度.com
-
-
./testssl.sh --quiet -U www.百度.com
-
-
参数说明:
-
-
-b,-v:这2个是显示版本的testssl自身的信息
-
-V:输出现有的本机密码套件列表
-
-t(--startssl):指明要测试的协议:
-
https ,ftp,smtp,pop3,imap,xmpp,telnet,ldap,postgres,mysql,
-
其中 telnet,ldap,postgres ,mysql 这4个协议要指定openssl
-
--mode < serial| parallel> 模式,默认是串行模式,若多核CPU大规模测试可选并行
-
--parallel:选项启用并行测试 (默认是串行),等同于 --mode parallel
-
-e:测试每个密码套件
-
-E:测试每个协议(SSL2 SSL3 TLS1 TLS1.1 TLS1.2
-
)
-
-s (--std):测试加密强度很高的一些密码套件
-
-p(--protocols ) :测试每个TLS与SSL协议 并且检测 spdy 与 http2
-
-S:测试并显示服务器端证书信息
-
-P:测试并显示服务器偏好(也就是服务器优先配置的TLS协议和密码套件)
-
-x( --single-cipher <pattern> ): 指定一个密码套件,也就是测试一下是否支持指定的这个套件
-
-c:测试客户端支持情况
-
-h (--header):测试是否支持 HSTS, HPKP, cookie ,ipv4 ,代理 ,安全头部等
-
-U:测试所有的漏洞
-
-
所有漏洞
-
-H, --heartbleed:tests for Heartbleed vulnerability
-
-I, --ccs, --ccs-injection:tests for CCS injection vulnerability
-
-T, --ticketbleed:tests for Ticketbleed vulnerability in BigIP loadbalancers
-
-R, --renegotiation:tests for renegotiation vulnerabilities
-
-C, --compression, --crime:tests for CRIME vulnerability (TLS compression issue)
-
-B, --breach:tests for BREACH vulnerability (HTTP compression issue)
-
-O, --poodle:tests for POODLE (SSL) vulnerability
-
-Z, --tls-fallback:checks TLS_FALLBACK_SCSV mitigation
-
-W, --sweet32:tests 64 bit block ciphers (3DES, RC2 and IDEA): SWEET32 vulnerability
-
-A, --beast:tests for BEAST vulnerability
-
-L, --lucky13:tests for LUCKY13
-
-F, --freak:tests for FREAK vulnerability
-
-J, --logjam:tests for LOGJAM vulnerability
-
-D, --drown:tests for DROWN vulnerability
-
-f, --pfs, --fs, --nsa:checks (perfect) forward secrecy settings
-
-4, --rc4, --appelbaum:which RC4 ciphers are being offered?
-
-
-6:支持ipv6
-
--ip [one]: 直接测试ip所指向的地址,不使用DNS解析出来的ip地址; 参数one 是指使用NDS解析返回的第一个IP地址,因为很多站点会有多个IP,那么会重复测试多次。
-
-n (--nodns) :不使用DNS
-
--sneaky:在服务器端少留痕迹
-
--quiet:不输出banner
-
--fast:只显示第一个密码套件 与-P 合用
-
--log:输出文档(有默认名称)
-
--logfile:指定一个输出文档
-
--json:json格式的文档 (有默认名称)
-
--jsonfile:指定一个json格式文档
-
--csv:csv格式的文档 (有默认名称)
-
--csvfile:指定一个csv 格式文档
-
--html:html 格式文档 (有默认名)
-
--htmlfile:指定一个html文档
-
--append:允许追加
-
-
2.nginx ssl配置
-
-
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;
-
-
-
# 扫描SSL漏洞问题的主机 一个段
-
-
Heartbleed测试:nmap -sV -p 443 --script=ssl-heartbleed 192.168.1.0/24
k8s组件相关漏洞修复方案
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhhafbhc
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
怎样阻止微信小程序自动打开
PHP中文网 06-13