本文概述
- 介绍
- 检查你的客户端或Web(HTTPS)服务器是否易受攻击
- 修复FREAK攻击安全漏洞
如今, 网络安全正在发生。总会有一些东西让Security Expert忙, 漏洞名称有点像Heart Bleed, Poodle和现在的Freak Attack。
在本指南中, 我将说明如何确定你的网站是否受到影响以及修复漏洞的过程。
介绍 如果你对FREAK攻击感兴趣或不了解, 那么这里有几句话。 Karthikeyan Bhargavan在巴黎的INRIA发现了FREAK攻击漏洞。
2015年3月3日宣布, 新的SSL / TLS漏洞将使攻击者能够拦截易受攻击的客户端和服务器之间的HTTPS连接, 并能够迫使他们使用弱加密。这将帮助攻击者窃取或操纵敏感数据。
检查你的客户端或Web(HTTPS)服务器是否易受攻击 客户端-查找浏览器客户端是否易受攻击的最快方法是在浏览器中单击以下URL, 你将获得结果。
https://freakattack.com/clienttest.html
如果你的浏览器客户端易受攻击, 则你将收到以下警告消息。
文章图片
如果你的浏览器客户端不容易受到攻击, 则你将收到如下所示的好消息。
文章图片
服务器-如果你的Web服务器接受RSA_EXPORT密码套件, 那么你将处于危险之中。你可以在以下链接中对HTTPS URL进行检查。
- https://www.ssllabs.com/ssltest/
- https://entrust.ssllabs.com/index.html
- https://tools.keycdn.com/freak
SSLCipherSuite !EXPORT
如果你不熟悉此配置, 则可以阅读我的Apache Web服务器安全性和强化指南。
Nginx –在配置文件中添加以下内容。
ssl_ciphers '!EXPORT';
此外, 你可以使用SSL配置生成器或Mozilla推荐配置来利用SSL / TLS漏洞进行保护。
作为网站所有者或安全工程师, 你应该定期对网站进行安全扫描, 以发现任何新漏洞并得到通知。
【如何测试FREAK攻击(CVE-2015-0204)和修复】你可能也有兴趣修复Logjam攻击。
推荐阅读
- 如何制止罕见的黑客入侵()
- 10个在线工具,用于测试SSL,TLS和最新漏洞
- 8个SaaS Web漏洞扫描程序,提供持续的安全性
- 从你的网站消除不良僵尸的6种方法
- 网站管理员的10个免费SSL/TLS故障排除工具
- 9个免费的有用在线SSL/TLS证书工具
- 什么是SQL注入以及如何在PHP应用程序中进行预防()
- 通过API检测Web上的安全威胁
- 什么是社会工程(为什么要受到关注?)