Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦:路

1.  
   1.扫描
2.  
    
3.  
   nmap -sV --script ssl-enum-ciphers -p 443 www.百度.com
4.  
    
5.  
   nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.百度.com
6.  
    
7.  
   sslscan www.百度.com
8.  
    
9.  
   git clone --depth 1 --branch 2.9.5 https://github.com/drwetter/testssl.sh.git
10.  
     
11.  
    ./testssl.sh --quiet www.百度.com
12.  
     
13.  
    ./testssl.sh -c --quiet --html www.baiud.com
14.  
     
15.  
    ./testssl.sh -c --quiet --log www.百度.com
16.  
     
17.  
    ./testssl.sh --quiet -U www.百度.com
18.  
     
19.  
    参数说明：
20.  
     
21.  
    -b，-v：这2个是显示版本的testssl自身的信息
22.  
    -V：输出现有的本机密码套件列表
23.  
    -t（--startssl）：指明要测试的协议：
24.  
    https ，ftp，smtp，pop3，imap，xmpp，telnet，ldap，postgres，mysql，
25.  
    其中 telnet，ldap，postgres ，mysql 这4个协议要指定openssl
26.  
    --mode < serial| parallel> 模式，默认是串行模式，若多核CPU大规模测试可选并行
27.  
    --parallel：选项启用并行测试 （默认是串行），等同于 --mode parallel
28.  
    -e：测试每个密码套件
29.  
    -E：测试每个协议（SSL2 SSL3 TLS1 TLS1.1 TLS1.2
30.  
    ）
31.  
    -s (--std)：测试加密强度很高的一些密码套件
32.  
    -p（--protocols ) ：测试每个TLS与SSL协议 并且检测 spdy 与 http2
33.  
    -S：测试并显示服务器端证书信息
34.  
    -P：测试并显示服务器偏好（也就是服务器优先配置的TLS协议和密码套件）
35.  
    -x（ --single-cipher <pattern> ）： 指定一个密码套件，也就是测试一下是否支持指定的这个套件
36.  
    -c：测试客户端支持情况
37.  
    -h （--header）：测试是否支持 HSTS, HPKP， cookie ，ipv4 ，代理 ，安全头部等
38.  
    -U：测试所有的漏洞
39.  
     
40.  
    所有漏洞
41.  
    -H, --heartbleed：tests for Heartbleed vulnerability
42.  
    -I, --ccs, --ccs-injection：tests for CCS injection vulnerability
43.  
    -T, --ticketbleed：tests for Ticketbleed vulnerability in BigIP loadbalancers
44.  
    -R, --renegotiation：tests for renegotiation vulnerabilities
45.  
    -C, --compression, --crime：tests for CRIME vulnerability (TLS compression issue)
46.  
    -B, --breach：tests for BREACH vulnerability (HTTP compression issue)
47.  
    -O, --poodle：tests for POODLE (SSL) vulnerability
48.  
    -Z, --tls-fallback：checks TLS_FALLBACK_SCSV mitigation
49.  
    -W, --sweet32：tests 64 bit block ciphers (3DES, RC2 and IDEA): SWEET32 vulnerability
50.  
    -A, --beast：tests for BEAST vulnerability
51.  
    -L, --lucky13：tests for LUCKY13
52.  
    -F, --freak：tests for FREAK vulnerability
53.  
    -J, --logjam：tests for LOGJAM vulnerability
54.  
    -D, --drown：tests for DROWN vulnerability
55.  
    -f, --pfs, --fs, --nsa：checks (perfect) forward secrecy settings
56.  
    -4, --rc4, --appelbaum：which RC4 ciphers are being offered?
57.  
     
58.  
    -6：支持ipv6
59.  
    --ip [one]： 直接测试ip所指向的地址，不使用DNS解析出来的ip地址； 参数one 是指使用NDS解析返回的第一个IP地址，因为很多站点会有多个IP，那么会重复测试多次。
60.  
    -n (--nodns) ：不使用DNS
61.  
    --sneaky：在服务器端少留痕迹
62.  
    --quiet：不输出banner
63.  
    --fast：只显示第一个密码套件 与-P 合用
64.  
    --log：输出文档（有默认名称）
65.  
    --logfile：指定一个输出文档
66.  
    --json：json格式的文档 （有默认名称）
67.  
    --jsonfile：指定一个json格式文档
68.  
    --csv：csv格式的文档 （有默认名称）
69.  
    --csvfile：指定一个csv 格式文档
70.  
    --html：html 格式文档 （有默认名）
71.  
    --htmlfile：指定一个html文档
72.  
    --append：允许追加
73.  
     
74.  
    2.nginx ssl配置
75.  
     
76.  
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;
77.  
     
78.  
     

1.  
   # 扫描SSL漏洞问题的主机 一个段
2.  
    
3.  
   Heartbleed测试：nmap -sV -p 443 --script=ssl-heartbleed 192.168.1.0/24

k8s组件相关漏洞修复方案

这篇好文章是转载于：学新通技术网