iT邦幫忙

1

弱點掃描問題

各位資訊先進你們好

小弟有一個系統近期要上線時

被資安部門提到說有一個弱掃要解決,才能上線

http://ithelp.ithome.com.tw/upload/images/20170224/20060353eGsvWkYgjd.png

我後來自己找了一些方法,包括把SSLv3 , v2 相關機碼給disable, Tomcat的server.xml 強制走TLS相關設定 (重開機過)

後來還是掃到一樣的弱點 ......

希望有大神能賜教,或是給些觀念與方向

感激 ~~~

1 個回答

2
bizpro
iT邦大師 1 級 ‧ 2017-02-24 19:51:14
最佳解答

停用SSL各版本協定而只用TLS是必須要做的, 但不是這個問題.

真正的問題是您使用這個加密法(cipher):3DES, 這是毫無安全性可言的加密法.
至於在service.xml中的cipher設定要用什麼, 基本原則是:

  1. 不安全的絕對不用, 例如: 各種3DES, ADH, AECDH, MD5等.
  2. 高安全性的放在前面.
  3. 非必要不要使用不安全的客戶端, 如Windows XP及IE 10以下, 為了相容性使用這些客戶端, 必須被迫使用不安全的Cipher, 可能弱點掃描會不過, 因此必須取捨, 捨棄這些不安全的客戶端.

感謝大大的回覆

但是我的server.xml 裡面並沒有填加任何Cipher的值
它是怎麼判定我走這個加密法(cipher):3DES 呢

所以我是要自己強制指定

類似剛剛找到的方法
https://www.sslshopper.com/article-how-to-disable-weak-ciphers-and-ssl-2-in-tomcat.html

bizpro iT邦大師 1 級 ‧ 2017-02-25 11:51:11 檢舉

看來您並未設定cipher, 因此使用了tomcat內定值. 這些ciphers勉強可以用, 把256bits的放前, 把128bits的放後. 不必用384bits, 但要看您的Tomcat版本還有客戶端的支援, 還有效能考量, 畢竟在業務考量下, 不太會更新Tomcat的元件, 通常應該在Tomcat前用反向代理, 把非Tomcat專精的交給專業的反向代理.

我要發表回答

立即登入回答