精华内容
下载资源
问答
  • 2020-12-20 21:51:41

    大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。

    不安全的加密算法有以下几种:

    1、DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。

    2、3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。

    3、AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高。

    数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,使其只能在输入相应的密钥之后才能显示出原容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。 该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。通过修改文件的md5值,可以绕过某些网盘的“违规文件扫描机制”,这是因为网盘服务器内存储着已知违规文件的md5值,当上传文件时会自动与服务器md5数据库匹配以判断是否违规。

    更多相关内容
  • SSH&SSL弱加密算法漏洞修复

    万次阅读 2017-10-18 17:35:51
    SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。 修改SSH配置文件,添加加密算法: vi /etc/ssh/sshd_config 最后面添加以下内容(去掉arcfour,...
     

    一、SSH

    SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。

    修改SSH配置文件,添加加密算法:

    vi /etc/ssh/sshd_config 最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等弱加密算法): Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

    ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

    保存文件后重启SSH服务: service sshd restart or service ssh restart

    验证 ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server> ssh -vv -oMACs=hmac-md5 <server>

    参考信息:http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/

    使用Nmap验证: nmap --script "ssh2*" 45.76.186.62

    已不支持arcfour,arcfour128,arcfour256等弱加密算法。


    SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式,添加以下行: MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160

    二、SSL

    修改SSL配置文件中的的SSL Cipher参数

    不同Web服务软件的配置文件位置及参数名称不同,需根据实际情况查找。 具体安全算法配置可参考此网站:https://cipherli.st/

    如Apache修改以下内容:

    修改前后支持的加密算法对比: nmap -p 443 --script "ssl-enum-ciphers" xx.xx.xx.xx

    作者:Shad0wpf 链接:http://www.jianshu.com/p/24612e17ddc4 來源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    展开全文
  • ssh弱加密算法漏洞修复

    千次阅读 2021-05-15 20:24:14
    ssh弱加密算法漏洞修复SSH弱加密算法漏洞修复1.A security scan turned up two SSH vulnerabilities:1)SSH Server CBC Mode Ciphers Enabled解释:CBC模式(Cipher Block Chaining模式,密文分组链接模式),之所以叫...

    66b52468c121889b900d4956032f1009.png

    8种机械键盘轴体对比

    本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?

    ssh弱加密算法漏洞修复

    SSH弱加密算法漏洞修复

    1.A security scan turned up two SSH vulnerabilities:

    1)SSH Server CBC Mode Ciphers Enabled

    解释:CBC模式(Cipher Block Chaining模式,密文分组链接模式),之所以叫这个名字,是因为密文分组像链条一样互相连接在一起。在CBC模式中,首先将明文分组与前一个密文分组进行XOR运算,然后再进行加密。

    2)SSH Weak MAC Algorithms Enabled

    解释:开启了SSH 弱MAC加密算法,MAC算法(Message Authentication Code,消息认证码)带密钥的Hash函数:消息的散列值由只有通信双方的密钥K来控制。此时hash值称作MAC。

    2.SSH的配置文件中加密算法没有指定,默认支持所有加密算法:

    Ciphers 默认使用这些 :

    aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc

    漏洞提示arcfour,arcfour128,arcfour256都是不安全的。

    变成这样aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

    cbc也是不安全的

    变成这样 aes128-ctr,aes192-ctr,aes256-ctr

    MACs默认使用:

    hmac-md5,hmac-sha1,[email protected],hmac-ripemd160

    漏洞提示

    hmac-md5,hmac-md5-96,[email protected], [email protected],hmac-sha1-96, [email protected] 都是不安全的

    变成这样 hmac-sha1,hmac-ripemd160

    3.修改ssh配置文件,添加加密算法

    $ vi /etc/ssh/sshd_config

    最后面添加以下内容(去掉arcfour,arcfour128,arcfour256,aes128-cbc,3des-cbc等弱加密算法):

    Ciphers aes128-ctr,aes192-ctr,aes256-ctr

    MACs hmac-sha1,hmac-ripemd160

    clipboard.png

    4.重启ssh服务

    $ service sshd restart

    $ systemctl restart ssh

    5.测试

    $ ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc $ ssh -vv -oMACs=hmac-md5 ![clipboard(1)](../image/clipboard(1).png)

    使用Nmap验证:

    $ nmap –script “ssh2*” x.x.x.x

    clipboard(2).png 已不支持arcfour,arcfour128,arcfour256等弱加密算法。

    参考链接:

    https://www.jianshu.com/p/24612e17ddc4

    https://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/

    展开全文
  • apache服务器禁止使用3DES加密算法,在server.xml中添加配置

    漏洞介绍

    一、 最近在工作中,公司产品负责人反馈了项目地区一台服务器里tomcat被客户检测到有漏洞,这是绿盟给到的漏洞报告反馈如下图:

    1、第一个漏洞是CVE-2021-42340,这个不多介绍,当时服务器Apache Tomcat版本为8.5.69,在受影响的版本范围内,升级到8.5.72版本以上即可修复。

    2、主要看这个CVE-2016-2183漏洞

    那么简单介绍下CVE-2016-2183漏洞。

    漏洞描述:

    SSL全称是Secure Sockets Layer,安全套接字层,它是由网景公司(Netscape)设计的主要用于Web的安全传输协议,目的是为网络通信提供机密性、认证性及数据完整性保障。如今,SSL已经成为互联网保密通信的工业标准。SSL最初的几个版本(SSL 1.0、SSL2.0、SSL 3.0)由网景公司设计和维护,从3.1版本开始,SSL协议由因特网工程任务小组(IETF)正式接管,并更名为TLS(Transport Layer Security),发展至今已有TLS 1.0、TLS1.1、TLS1.2,TLS1.3这几个版本。TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

    风险级别:低

    该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但OpenSSL 1.1.0发布时自带这些,默认情况下禁用密码套件。该问题在新的openssl版本中已解决。

    在上图中可以看出,服务器10004端口存在低级别的加密算法。我们来自己测试下。

    使用nmap扫描工具测试。输入命令nmap -sV -p 10004 --script ssl-enum-ciphers 服务器IP

    如下图,可以看出存在C低级别3DES算法。A级别为符合安全的算法。

    解决办法

    二、避免使用3DES和DES算法

    对于apache服务器禁止使用3DES加密算法

    Tomcat中:

    在tomcat/conf/server.xml中找到https端口配置,添加Ciphers="......",此处添加支持的算法,不支持的算法请勿加入其中!

     
    
     <Connector port="10004" protocol="org.apache.coyote.http11.Http11NioProtocol" maxHttpHeaderSize="8192" minSpareThreads="250" maxSpareThreads="1000"
    enableLookups="false" acceptCount="1000" connectionTimeout="8000" 
    maxProcessors="2000" maxThreads="2000" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/XXXXXXXXXXXX.pfx" keystoreType="xxxxx" keystorePass="xxxxxxxx" sslEnabledProtocols="TLSv1" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" 
    Ciphers="TLS_DHE_RSA_WITH_AES_128_CBC_SHA ,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
     /> 

    重新启动Tomcat

    cd  tomcat-home/bin/
    ./shutdown.sh    :关闭
    ./startup.sh    :启动

     Nginx中:

    在nginx/conf/nginx.conf中配置https端口配置

    server
    {
        listen 80;
    	listen 443 ssl https2;
    	#使用HTTP/2,需要Nginx1.9.7以上的版本
    	ssl on;
        server_name ykqi.cn www.ykqi.cn;
        index index.php index.html index.htm default.php default.htm default.html;
        root /www/wwwroot/dist/ykqi;
        
        #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
        #error_page 404/404.html;
    	
    	add_header X-Frame-Options DENY;
    	#禁止被嵌入框架
    	
    	add_header X-Content-Type-Options nosniff;
    	#防止在IE9、Chrome和Safari中的MIME类型混淆攻击
    
    	ssl_certificate      /www/server/panel/vhost/ssl/1_ykqi_bundle.crt;
    	ssl_certificate_key  /www/server/panel/vhost/ssl/2_ykqi.key;  
    	#SSL证书文件位置
    
    	
    	ssl_dhparam /www/server/panel/vhost/ssl/dhparam.pem;
    	#DH-Key交换**文件位置
    	
    	#SSL优化配置
    
    	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    	#只允许TLS协议
    
    	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
    	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration
    
    	ssl_prefer_server_ciphers on;
    	#由服务器协商最佳的加密算法
    
    	ssl_session_cache builtin:1000 shared:SSL:10m;
    	#Session Cache,将Session缓存到服务器,这可能会占用更多的服务器资源
    
    	ssl_session_tickets on;
    	#开启浏览器的Session Ticket缓存
    
    	ssl_session_timeout 10m; 
    	#SSL session过期时间
    	
    	add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";
    	#开启HSTS,并设置有效期为“6307200秒”(6个月),包括子域名(根据情况可删掉),预加载到浏览器缓存(根据情况可删掉)
        #SSL-END
        
        #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
        #error_page 404 /404.html;
        #error_page 502 /502.html;
        #ERROR-PAGE-END
        
        #PHP-INFO-START  PHP引用配置,可以注释或修改
        #PROXY-START
        location / 
        {
            proxy_pass http://localhost:8090;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header REMOTE-HOST $remote_addr;
                    
            #持久化连接相关配置
            #proxy_connect_timeout 30s;
            #proxy_read_timeout 86400s;
            #proxy_send_timeout 30s;
            #proxy_http_version 1.1;
            #proxy_set_header Upgrade $http_upgrade;
            #proxy_set_header Connection "upgrade";
            
            #add_header X-Cache $upstream_cache_status;
            
            #expires 12h;
        }   
        
        #禁止访问的文件或目录
        location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
        {
            return 404;
        }
        
        #一键申请SSL证书验证目录相关设置
        location ~ \.well-known{
            allow all;
        }
    	  
        access_log  /www/wwwlogs/ykiq.cn.log;
        error_log  /www/wwwlogs/ykqi.cn.error.log;
    }
    

    配置完重新启动Nginx!

    CentOS 6.x下面:

    service nginx restart 

    CentOS 7.x下面:

    systemctl restart nginx

    现在已经禁用了3DES算法了!

    然后再重新nmap扫描。

    展开全文
  • 2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)发布时间:2019-01-16 18:28,浏览次数:3318, 标签:SSHWeakAlgorithmsSupported本系列文章旨在对于有一定网络安全基础的人员,在日常...
  • 使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually ...
  • 浅谈“脆弱的SSL加密算法

    千次阅读 2020-07-06 11:24:31
    一:漏洞名称: ...黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较弱的加密算法将不能较好的保证通...
  • 将128位以下弱加密算法禁用 , 在配置时应该明确指定算法: ssl_ciphers HIGH:!ADH:!MD5; 编辑配置文件nginx.conf,把这句加在 server 配置节里就可以了,在浏览器使用不安全的算法时,会自动禁止连接。 ...
  • 脆弱的SSL加密算法问题

    千次阅读 2018-09-07 23:03:05
    脆弱的 SSL 加密算法也可以叫它 openssl 的 FREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密...
  • web应用 用appscan扫描出这个问题:支持弱 SSL 密码套件 应用是部署在Linux下的weblogic,请问怎么禁用弱加密算法
  • S7506E 关闭SSH弱加密

    2021-05-15 20:25:42
    您好,请知:可以使用密码策略来实现密码长度、有效期、失败锁定等功能。具体配置方法和脚本如下:1、针对全部的登陆用户做限制,需要在全局配置密码策略:[H3C]password-control enable //开启密码策略[H3C]...
  • 安全性要求高的应用程序必须避免使用不安全的或者强度加密算法,现代计算机的计算能力使得攻击者通过暴力破解能够攻破强度的算法。比如,数据加密标准算法DES是极度不安全的,使用类似EFF(Electronic ...
  • 限制某些加密算法和协议在 Schannel.dll09/08/2020本文内容本文介绍如何限制某些加密算法和协议在安全文件的Schannel.dll使用。 此信息还适用于为 MICROSOFT 加密 API (CAPI) 编写的独立软件供应商 (ISV) 。适用于:...
  • 密码算法简单汇总

    2019-10-06 11:38:35
    整理一下非安全的密码算法,在使用时要注意。 一、加解密算法(cipher) 3des_cbc 3DES algorithm des_cbc DES algorithm aes128_cbc AES128 algorithm aes128_ctr AES128_CTR algorithm aes192_...
  • web渗透--34--脆弱的通信加密算法

    千次阅读 2018-09-17 23:00:03
    弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、openssl的FREAK Attack漏洞 2、漏洞描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低...
  • win10系统自带有BitLocker加密功能,可方便用户们加密磁盘,但加密后会采用该硬件加密方式,而摒弃自己的软件加密方式,为了避免受到影响,让BitLocker禁用硬件加密,用回自己的加密方式才是可靠之选,接下来小编教...
  • AES/DES是android程序中常用的两种对称加密算法,其工作模式有ECB、CBC、CFB和OFB。当其使用ECB或OFB工作模式时,加密数据可能被选择明文攻击CPA破解。加密方法失效后可能导致客户端隐私数据泄露,加密文件破解,...
  • TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据 修复建议: 对于nginx、apache、lighttpd等服务器禁止使用DES加密算法,...
  • 前一篇文章介绍了RSA加解密算法、明文密文长度、数字签名详解和java工具类、及应用探讨,这一篇文章来一起分享一下对称加密算法详解、对比、应用和Java工具类。 对称加密算法的加密过程 特点: 密钥只有一个,加密...
  • haproxy的ssl弱算法修复

    2022-05-17 19:39:25
    一般要禁止sslv3 no-sslv3 使用tlsv1.2 force-tlsv12 ssl-default-bind-ciphers 设置加密套件 一般设置为 ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ...
  • BitLocker的主要作用是加密整个驱动器,Win10中如何使用BitLocker禁用硬盘加密呢?解析来的文章中小编将会带来详细的使用方法介绍。BitLocker禁用硬件加密的方法Windows10自带的“BitLocker加密”功能可以加密整个...
  • (转载)Tomcat禁用SSLv3和RC4算法

    千次阅读 2021-01-26 15:28:12
    算法的说明,TLS_RSA_WITH_AES_128_CBC_SHA256:TLS--SSL还是TSL,RSA--所用非对称加密算法,AES--所用对称加密算法,128--对称加密分组长度,CBC--分组加密模式,SHA256--所用完整性验证算法 参考: ...
  • python安全加密

    2021-08-14 18:00:17
    1.禁止使用私有算法和弱加密算法(比如DES和MD5) 2.使用安全随机数secrets.SystemRandom 3.基于哈希算法的口令安全存储必须加入盐值(salt) Hmac 1.背景 通过哈希算法,我们可以验证一段数据是否有效,方法就是对比该...
  • 去掉arcfour,arcfour128,arcfour256等弱加密算 最后面一行设置 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com 修改完成后执行: ...
  • 如图所示 进入NodeDefaultSSLSettings 进入Quality of protection (QoP) settings(保护质量(QoP)设置) 禁用SSL和RC4 禁用SSL: 在上边的Protocol下拉列表框中选择TSL(表示只用TSL算法,默认的SSL_TSL表示SSL和...
  • 应用安全开发之浅谈加密算法的坑

    千次阅读 2016-04-06 11:28:21
    ...密码学的三大作用:加密( Encryption)、认证(Authentication),鉴定(Identification)  ...加密:防止坏人获取你的数据。  认证:防止坏人修改了你的数据而你却并没有发现。  鉴

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,582
精华内容 3,032
关键字:

禁止使用的弱加密算法