我对这个问题已经束手无策了!我本来就不是 CI/网络人员,所以如果我问错了问题/提供了错误的信息,我深表歉意。
我正在努力让客户网站通过 Trustwave 安全扫描,以便继续接受信用卡。以下是迄今为止事件的时间表:
- 两周前,有人联系我纠正客户网站扫描中的问题。扫描结果显示,由于 BEAST 漏洞 (CVE-2011-3389),我们在 3 个项目中失败
- 该网站位于 Windows Azure 上,并且使用的是早期的客户操作系统,因此我将客户操作系统升级到 Windows Server 2012 上的 3.2。根据国家漏洞数据库,此漏洞在Microsoft 安全公告 MS12-006,这个问题在版本中得到了解决Azure 来宾操作系统 1.18/ 2.1。
- 尽管根据 MS 的文档,Windows Server 2012/IIS8 不受此漏洞的影响,但扫描仍然对相同的 3 个项目失败
- 然后我下载了 IISCrypto 工具并应用了 BEAST 设置,然后重新启动。这样我报告的漏洞就只剩下 1 个了 - (客户端提供的选项“TLSv1:ALL:eNULL:aNULL”;服务器协商分组密码“TLSv1:AES128-SHA”)。仅从我对此的了解来看,这没有任何意义,因为 RC4 密码都是第一个。顺便说一句,SSL Labs 在线扫描仪报告说我们的网站不再容易受到 BEAST 的攻击。
- 然后我采取了焦土政策,停用了所有 CBC 密码,只留下 RC4,试图不顾一切地强迫它与 RC4 密码进行协商。扫描仍然无法找到相同的漏洞,但是 SSL 实验室仍然报告我们的网站没有问题。
我真的很想自己测试一下,但是正如我所说,这不是我真正的工作——我是一名开发人员,虽然我想学习很多关于 CI 的知识,但我今天没有时间!到目前为止,我所做的就是使用我的 openssl 实例来尝试查询,因为我认为 Trustwave 正在展示它,看看我是否可以重现他们的证据:
openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL"
当我运行它时,我看到它显示TLSv1/SSLv3. Cipher is RC4-SHA
,这让我相信 Trustwave 扫描是错误的,但由于这是我第一次使用 openssl 进行此类操作,我甚至不确定我是否使用了正确的命令/语法。有人可以帮我纠正我的语法/针对同一网站验证我的结果吗?
编辑
据 Trustwave 介绍,BEAST 问题的描述如下:
SSL 协议使用带有链式初始化向量的 CBC 模式加密数据。这允许通过中间人 (MITM) 攻击或其他方式访问 HTTPS 会话的攻击者通过分块选择边界攻击 (BCBA) 结合使用 HTML5 WebSocket API、Java URLConnection API 或 Silverlight WebClient API 的 JavaScript 代码获取纯文本 HTTP 标头。此漏洞通常被称为针对 SSL/TLS 的浏览器漏洞或“BEAST”。
据 Trustwave 介绍,补救措施如下:
受影响的用户应在服务器的 SSL 配置中禁用所有基于块的密码套件,并仅支持不易受攻击的 RC4 密码,以完全解决此漏洞。此漏洞已在 TLS 版本 1.1/1.2 中得到解决,但在撰写本文时,对这些较新的 TLS 版本的支持尚未得到广泛支持,因此很难禁用早期版本。此外,受影响的用户还可以将 SSL 配置为优先使用 RC4 密码而不是基于块的密码,以限制(但不能消除)暴露。实施上述缓解优先级技术的受影响用户应对此漏洞提出申诉,并提供 SSL 配置的详细信息。
我上周通过常规谷歌搜索获得了有关 IISCrypto 工具的信息。
编辑2:根据请求,注册表中的密码如下所示:
[\AES 128/128]
"Enabled"=false
[\AES 256/256]
"Enabled"=false
[\DES 56/56]
"Enabled"=false
[\NULL]
"Enabled"=false
[\RC2 128/128]
"Enabled"=false
[\RC2 40/128]
"Enabled"=false
[\RC2 56/128]
"Enabled"=false
[\RC4 128/128]
"Enabled"=true
[\RC4 40/128]
"Enabled"=false
[\RC4 56/128]
"Enabled"=false
[\RC4 64/128]
"Enabled"=false
[\Triple DES 168/168]
"Enabled"=true
答案1
这个问题最初在这里得到回答:
我应用了这个并且它有效:
回答的是https://security.stackexchange.com/users/12375/josh https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on-iis
如果有效请告诉我