禁用SSLv2协议是否足以防止溺水攻击?
禁用SSLv2协议是否足以保护我的应用程序免受溺水攻击?
如果用户尚未在其所有SSL/TLS服务器中禁用SSLv2协议,则可以通过禁用SSLv2协议来避免此问题。禁用所有SSLv2密码也足够了,前提是已经部署了CVE-2015-3197的修补程序(在OpenSSL 1.0.1R和1.0.2F中已修复)。未禁用SSLv2协议且未为CVE-2015-3197打补丁的服务器,即使名义上禁用了所有SSLv2密码,也容易被淹没,因为恶意客户端可以强制将SSLv2与导出密码一起使用。
我把它读成a或B:
a)禁用SSLv2协议
或
b)使用CVE-2015-3197禁用SSLv2密码+修补程序
是的,我知道SSLv3也应该被禁用,以保护狮子狗,但这不是这个问题的重点。
共有1个答案
只要在所有服务器上禁用SSLv2,它们就可以免受溺水攻击。
请注意,如果您甚至有一个启用了SSLv2的服务器,并且您共享密钥(例如使用通配符证书,这是非常常见的),那么即使禁用了SSLv2的服务器也会变得易受攻击,因为攻击者可以使用一个SSLv2服务器来攻击使用以后协议的其他服务器上的连接。
-
我们正在用运行在JBoss中的Java Spring/Hibernate后端构建一个应用程序。前端是AngularJS。 我们还没有在服务器端设置XSRF令牌。我们也没有(无论如何还没有)允许其他域访问我们的web资源的要求。 我想我会试着看看我们的站点是否容易受到XSRF攻击,所以我设置了一个恶意的webapp,使用Angular的$http.post()发布到我们真正应用程序的URL中。我登录
-
问题内容: 是否有任何可用的特定排除列表可以仅禁用SSLv3密码而不是TLSv1 / 2。 我有码头8,现在不能升级到9。我当前的jetty-ssl.xml如下所示 当我运行“ sslscan –no-failed –ssl3 localhost:443”时,我仍然 问题答案: 我必须在集成Jetty源代码的应用程序中禁用SSLv3。根据我在代码中所做的更改,我猜您会添加以下内容: 试试看,让我知
-
我正在处理一个动态应用程序,我不确定参数化查询是否安全,不会受到XSS、二阶攻击?你能帮助我吗?谢谢 我以以下代码为例:
-
首先,我假设一个后端来控制输入以防止XSS漏洞。 在这个回答中@Les Hazlewood解释了如何在客户端保护JWT。 假设所有通信都使用100%TLS,无论是在登录期间还是登录后的所有时间,通过基本身份验证使用用户名/密码进行身份验证并接收JWT作为交换是一个有效的用例。这几乎就是OAuth 2的一个流(“密码授权”)的工作原理。[...] 您只需设置授权头: 但是,也就是说,如果您的REST
-
问题内容: 使用AntiForgeryToken要求每个请求都传递一个有效的令牌,因此带有简单脚本将数据发布到我的Web应用程序的恶意网页将不会成功。 但是,如果恶意脚本首先发出一个简单的GET请求(由Ajax发出),以便在隐藏的输入字段中下载包含防伪令牌的页面,然后将其提取出来并用于进行有效的POST,该怎么办? 是否有可能,或者我缺少什么? 问题答案: 是的,这就是您需要做的。 只要您在每个受
-
问题内容: 我正在开发一个完全由ajax驱动的应用程序,其中所有请求都通过一个基本上等于一个主控制器的主控制器,该主控制器看起来像这样: 这通常足以防止跨站点请求伪造吗? 当没有随每个请求刷新整个页面时,具有旋转令牌是很不方便的。 我想我可以在每次请求时都将唯一令牌作为全局javascript变量传递和更新-但是以某种方式感到笨拙并且似乎本质上不安全。 编辑-也许像用户的UUID这样的静态令牌总比