SSL/TLS常见漏洞检测及修复方法

漏洞介绍及修复方法

1.poodle漏洞

该漏洞只对CBC模式的明文进行了身份验证，但是没有对填充字节进行完整性验证，攻击者可以发动中间人攻击拦截用户浏览器和HTTPS站点的流量，然后窃取用户的敏感信息。

修复方法：禁用sslv3.0协议

2.心脏滴血漏洞 (CVE-2014-0160)

主要出现在openSSL处理TLS心跳的过程中，TLS心跳的流程是：A向B发送请求包，B收到包后读取这个包的内容(data)，并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。

修复方法：升级openssl到1.01g及以上版本

3.SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)

该漏洞可帮助攻击者将TLS连接降级为512位导出级加密。这有助于攻击者读取和修改通过网络连接传输的任何数据。

修复方法：禁用EXPORT密码或者升级openssl到安全版本

漏洞检测方法

工具下载

git clone https://github.com/drwetter/testssl.sh.git

检测方式

./testssl.sh [options] IP

相关参数可以通过命令./testssl.sh --help查找

比如测试poodle漏洞

参考文章

https://geekflare.com/test-logjam-attack-cve-2015-4000-and-fix/

https://www.openssl.org/news/secadv_20150611.txt