SSL/TLS常见漏洞检测及修复方法

漏洞介绍及修复方法

1.poodle漏洞
该漏洞只对CBC模式的明文进行了身份验证，但是没有对填充字节进行完整性验证，攻击者可以发动中间人攻击拦截用户浏览器和HTTPS站点的流量，然后窃取用户的敏感信息。
修复方法：禁用sslv3.0协议
2.心脏滴血漏洞 (CVE-2014-0160)
主要出现在openSSL处理TLS心跳的过程中，TLS心跳的流程是：A向B发送请求包，B收到包后读取这个包的内容(data)，并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。
修复方法：升级openssl到1.01g及以上版本
3.SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
该漏洞可帮助攻击者将TLS连接降级为512位导出级加密。这有助于攻击者读取和修改通过网络连接传输的任何数据。
修复方法：禁用EXPORT密码或者升级openssl到安全版本
可以参考：禁用操作 厂商公告

漏洞检测方法

工具下载

git clone https://github.com/drwetter/testssl.sh.git

检测方式

./testssl.sh [options] IP

相关参数可以通过命令./testssl.sh --help查找

比如测试poodle漏洞

参考文章

https://blog.csdn.net/csacs/article/details/90716413
https://www.cnblogs.com/nul1/p/11233607.html
https://geekflare.com/test-logjam-attack-cve-2015-4000-and-fix/
https://www.linuxidc.com/Linux/2015-06/118777.htm
https://blog.csdn.net/weixin_33755557/article/details/88907012