iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 23
1
Security

從0開始的學習之路 - 弱點偵測工具的使用及一些正在進行的弱點排除案例心得分享系列 第 23

Day 23 - 到客戶端執行弱點掃瞄並修復的心得分享 第十三天

今天是客戶端的第13天弱點修補了以下弱點。

弱點名稱:
TLS Padding Oracle Information Disclosure Vulnerability (TLS POODLE)

插件編號: 80035

風險程度: 中等

https://ithelp.ithome.com.tw/upload/images/20201008/20117888PjS6af2XzV.png

風險原因:
該漏洞是由於TLS協定在使用採用AES和DES之類的分組密碼的密碼套件時未驗證分組密碼填充而引起的。缺少填充檢查可以允許對加密的TLS通信進行解密。此漏洞可能允許未經授權的第三方解密HTTPS流量。

修補方式:
請軟體供應商提供修補補丁 (此案例經確認是Oracle WebLogic產生的,故請Oracle原廠提供修補補丁或是技術修補文章)。


弱點名稱:
SSL RC4 Cipher Suites Supported (Bar Mitzvah)

插件編號: 65821

風險程度: 中等

https://ithelp.ithome.com.tw/upload/images/20201008/20117888nk8wFAnvcA.png

風險原因:
伺服器支援在一個或多個密碼套件中使用RC4。 RC4密碼在生成偽隨機字節流方面存在缺陷,因此會在流中引入各種各樣的小偏差,從而降低其隨機性。 如果對明碼進行了重複加密(例如HTTP cookie),並且攻擊者能夠獲得許多(即數千萬個)密文,則攻擊者可能能夠得出明碼。

修補方式:
禁用RC4 ciphers並啟用 TLS 1.2協定和AES-GCM協定一起使用。

今天修補進度就到這一個段落,明天開始就是國慶連假了 但還是有不少中風險弱點要修補看能不能加速修補完,
明天還要來繼續修補公司的一些弱點。


上一篇
Day 22 - 到客戶端執行弱點掃瞄並修復的心得分享 第十二天
下一篇
Day 24 - 公司內部弱點檢查修補 第七天
系列文
從0開始的學習之路 - 弱點偵測工具的使用及一些正在進行的弱點排除案例心得分享30

尚未有邦友留言

立即登入留言