TLS / SSL漏洞

admin
27221admin首席执行运营官
2017-07-30 22:08:10
27221 2017-07-30 22:08:10
“我应该禁用哪些SSL密码?”
客户最近给了我们一些他们支持的密码的列表,并问我们应该禁用哪些SSL密码 - 有效地寻找可以使用的最安全的SSL密码。而不是“禁用不安全的”的快速答案,我以为我会尝试写一些有用的东西。
所以这里有一个方便的参考指南。随着时间的推移,这种开发时间非常耗时,毫无疑问。这不是从头到尾阅读,而是更方便的SSL / TLS问题备忘录。

有一个漏洞添加,注意到不准确,得到了新的参考?
 
漏洞


CVE-2016800或解密RSA(已过时和弱化eNcryption(DROWN))是一种漏洞,影响仍然支持SSLv2的服务器或与允许SSLv2(甚至其他协议(如电子邮件))共享私钥的服务器, 。它允许具有有效中间人员的攻击者在八小时内打破TLS连接的加密,并在一分钟内实现一个变体。该攻击需要用户访问负载密集型应用程序或替代地强制访问可能产生大量跨站点请求的站点的数百个请求。只要SSLv2的要求也得到满足,目标应用程序就可以使用包括TLSv1.2在内的任何协议组,另外必须使用RSA密钥交换。
参考
https://drownattack.com/
https://drownattack.com/drown-attack-paper.pdf
犯罪
压缩比信息泄漏易于(CRIME)是对TLS / SSL的攻击,但是它的开发可能性要小得多。CRIME的作者也写了BEAST攻击。攻击者需要一个中间人的连接,并且能够重复注入可预测的数据,同时监控生成的加密流量。这可以通过跨站点脚本攻击来实现; JavaScript不是必需的,只能使用HTML注入攻击,但效率会降低。
为了使CRIME成为可能,客户端和服务器必须支持在加密之前压缩请求。TLS支持DEFLATE,它是易受攻击的,和SPDY一样。
参考资料
https://www.gracefulsecurity.com/crime-against-tls/

浏览器利用SSL / TLS(BEAST)是在使用块密码时发现可能针对TLS v1.0和SSLv3.0(及更低版本)的实际攻击。有效地,攻击者能够确定作为加密过程的一部分使用的初始化向量,这意味着如果明文中的重复模式是明显的,则在密文中将是显而易见的。然而,它的用途有限,只能检索小块数据,例如会话令牌。攻击者必须能够中间连接,并且必须有一种方法可以产生额外的流量,例如SOP旁路或跨站脚本漏洞。用户必须使用旧的Web浏览器,因为现代浏览器可以防止此问题。
解决方案
强制执行TLS v1.1及更高版本
或者,您可以接受风险并依赖现代浏览器提供的保护措施,或者更喜欢使用RC4密码来减轻兽害,但会引入自己的问题。
参考资料
https://www.gracefulsecurity.com/what-is-beast/
违反
CVE-2013-3587或通过自适应压缩超文本(BREACH)的浏览器侦察和超滤是针对HTTP压缩的CRIME实例。也就是说,CRIME攻击了TLS SPDY,而BREACH则针对HTTP gzip / DEFLATE。因此,关闭TLS压缩对BREACH没有任何影响,因为它利用了底层的HTTP压缩。攻击遵循CRIME攻击的基本步骤,有几种方法可以解决问题,例如禁用HTTP压缩,保护应用免受CSRF攻击,每个请求随机使用CSRF令牌,以防止被捕获,混淆页面响应的长度通过向响应添加随机量的任意字节。
参考
https://bugzilla.redhat.com/show_bug.cgi?id=995168
怪物
CVE-2015-0204,CVE-2015-1637,CVE-2015-1067或Factoring RSA Keys(FREAK)是一个漏洞,允许位于中间人的攻击者降低安全性SSL / TLS通过强制连接使用“出口级”等级加密 - 这将RSA强度降低到512位,这是由于预算不足的攻击者可以破解的(2015年的研究人员在Amazon EC2实例上显示这是约104美元) 。然而,破解密钥仍然在计算上昂贵和缓慢,但是由于实现细节,攻击者可能不需要为每个会话中断密钥 - 例如,使用Apache mod_ssl,单个密钥在引导时生成并用于所有连接。出口级是指限制使用强密码学的美国法律。
参考
https://blog.cryptographyengineering.com/2015/03/03/attack-of-week-freak-or-factoring-nsa/
僵局
CVE-2015-4000或“Logjam”是一个影响TLSv1.2及更低版本的漏洞,允许中间人攻击者将加密级别降级为512位导出级别加密技术,攻击者可以使用一个适度的预算(2015年的研究人员显示,亚马逊EC2实例的价格约为104美元)。
参考
https://weakdh.org/
https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
 
不再
许多发生监视和恢复漏洞利用或“RC4 NOMORE”是对RC4的实际攻击,允许HTTP Cookie在52小时内被撤回,因为有效的中间人攻击。NOMORE攻击的开发者还指出,可以对他们的工作进行几项优化,以进一步减少这一次。
参考
https://www.rc4nomore.com/
 
酒吧Mitzvah
CVE-2015-2808或“Bar Mitzvah”涉及一种称为“不变性弱点”的漏洞,它允许从使用RC4密码保护的SSL / TLS会话中恢复少量明文数据。攻击在Blackhat亚洲。它需要一个具有中间人的攻击的定位攻击者,能够捕获“数百万”的请求。此漏洞允许定位的攻击者从加密流中恢复多达100个字节的最低有效位。
参考
https://www.blackhat.com/docs/asia-15/materials/asia-15-Mantin-Bar-Mitzvah-Attack-Breaking-SSL-With-13-Year-Old-RC4-Weakness-wp.pdf
 
SWEET32
CVE-2016-2183或“SWEET32”涉及针对64位块密码(如DES和3DES)的生日攻击。它需要具有中间人攻击的定位攻击者,可以捕获长时间的HTTPS连接。原始的概念证明表明,通过使用恶意JavaScript生成流量,可以捕获大约785 GB的流量来恢复安全的HTTP Cookie。因此,有效地,这种漏洞允许定位的攻击者在与诸如SOP旁路或跨站脚本之类的漏洞结合使用时绕过Cookie上的“安全”标志提供的保护。
DES-CBC3-SHA

参考资料
https://sweet32.info/
https://www.openssl.org/blog/blog/2016/08/24/sweet32/
 
SSL POODLE
CVE-2014-3566,SSL填充Oracle降级的旧版加密漏洞(POODLE)是影响SSLv3的漏洞,其中使用CBC密码模式启用块密码。它需要一个中间人攻击和攻击者使应用程序能够通过新创建的SSL3.0连接发送相同的数据的能力,但允许攻击者将所选择的密码字节解密为少于256个尝试。此漏洞是规范中的一个问题,而不是具体的实现问题。另外,如果一个服务比SSLv3更喜欢TLS,那么如果TLS Fallback SCSV机制未启用,则可能会“回滚”连接。
参考
https://www.imperialviolet.org/2014/10/14/poodle.html
任何具有CBC的SSLv3块密码
 
TLS POODLE
CVE-2014-8730,TLS Padding Oracle降级的旧版加密漏洞(POODLE)是影响某些TLS实现的漏洞。最初攻击是针对SSLv3描述的,尽管后来扩展了一些限制。此漏洞是实现特定的,但会影响F5产品。
参考
https://www.imperialviolet.org/2014/12/08/poodleagain.html
https://support.f5.com/csp/#/article/K15882
 
心脏出血漏洞
CVE-2014-0160或“Heartbleed”,在SSL / TLs中并不是一个问题,而是在OpenSSL中影响版本1.0.1到1.0.1f的一个实现问题。它可以通过升级到更新版本的OpenSSL来修复,或者通过选项-DOPENSSL_NO_HEARTBEATS进行编译。它不需要中间人来利用并可以利用服务器和客户端。该问题允许攻击者从易受攻击的系统中提取高达64kb的内存,这可能导致窃取凭据,会话令牌和服务器专用密钥。
参考
https://heartbleed.com/
 

密码套房


RC2
认为RC2密码的密钥长度只能提供较低的安全性。低强度密码被认为是具有密钥长度<= 64位的密码。
EXP-RC2-CBC-MD5

RC4
已知RC4密码容易受到许多问题的影响,例如2001年首次描述的“不变性弱点”。已经讨论了几个攻击,例如在Blackhat Asia 2015展示的“Bar Mitzvah攻击”。该算法也被称为作为ARC4或ARCFOUR(被称为RC4)在某些情况下,由于术语RC4是商标。最显着的攻击可能是RC4 NOMORE攻击,可以在短短52小时内恢复TLS保护的HTTP cookie。
ECDHE-RSA-RC4-SHA,ECDHE-ECDSA-RC4-SHA,AECDH-RC4-SHA,ADH-RC4-MD5,ECDH-RSA-RC4-SHA,ECDH-ECDSA-RC4-SHA,PSK-RC4-SHA, KRB5-RC4-SHA,KRB5-RC4-MD5,ECDHE-RSA-RC4-SHA,ECDHE-ECDSA-RC4-SHA,AECDH-RC4-SHA,ADH-RC4-MD5,ECDH-RSA-RC4-SHA, ECDSA-RC4-SHA,PSK-RC4-SHA,KRB5-RC4-SHA,KRB5-RC4-MD5,ECDHE-RSA-RC4-SHA,ECDHE-ECDSA-RC4-SHA,AECDH-RC4-SHA,ADH-RC4- MD5,ECDH-RSA-RC4-SHA,ECDH-ECDSA-RC4-SHA,PSK-RC4-SHA,KRB5-RC4-SHA,KRB5-RC4-MD5,ECDHE-RSA-RC4-SHA,ECDHE-ECDSA-RC4- SHA,AECDH-RC4-SHA,ADH-RC4-MD5,ECDH-RSA-RC4-SHA,ECDH-ECDSA-RC4-SHA,PSK-RC4-SHA,KRB5-RC4-SHA,KRB5-RC4-MD5,EXP- RC4-MD5,RC4-64-MD5,RC4-MD5,RC4-SHA

DES
DES是64位块密码,因此受到CVE-2016-2183中描述的“SWEET32”漏洞的影响。
此外,它被标记为低于推荐水平的“中”强度密码。中密度密码是密钥长度至少为56位且小于112位的密码。
ECDHE-RSA-DES-CBC3-SHA,ECDHE-ECDSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,EDH-DSS-DES-CBC3-SHA,DH-RSA-DES-CBC3-SHA, DH-DSS-DES-CBC3-SHA,AECDH-DES-CBC3-SHA,ADH-DES-CBC3-SHA,ECDH-RSA-DES-CBC3-SHA,ECDH-ECDSA-DES-CBC3-SHA,KRB5-DES- CBC3-SHA,KRB5-DES-CBC3-MD5,ECDHE-RSA-DES-CBC3-SHA,ECDHE-ECDSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,EDH-DSS-DES-CBC3- SHA,DH-RSA-DES-CBC3-SHA,DH-DSS-DES-CBC3-SHA,AECDH-DES-CBC3-SHA,ADH-DES-CBC3-SHA,ECDH-RSA-DES-CBC3-SHA, ECDSA-DES-CBC3-SHA,KRB5-DES-CBC3-SHA,KRB5-DES-CBC3-MD5,ECDHE-RSA-DES-CBC3-SHA,ECDHE-ECDSA-DES-CBC3-SHA,EDH-RSA-DES- CBC3-SHA,EDH-DSS-DES-CBC3-SHA,DH-RSA-DES-CBC3-SHA,DH-DSS-DES-CBC3-SHA,AECDH-DES-CBC3-SHA, ECDH-RSA-DES-CBC3-SHA,ECDH-ECDSA-DES-CBC3-SHA,KRB5-DES-CBC3-SHA,KRB5-DES-CBC3-MD5,ECDHE-RSA-DES-CBC3-SHA,ECDHE-ECDSA- DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,EDH-DSS-DES-CBC3-SHA,DH-RSA-DES-CBC3-SHA,DH-DSS-DES-CBC3-SHA,AECDH-DES-CBC3-SHA,ADH-DES-CBC3-SHA,ECDH-RSA- DES-CBC3-SHA,ECDH-ECDSA-DES-CBC3-SHA,KRB5-DES-CBC3-SHA,KRB5-DES-CBC3-MD

3DES
3DES使用64位块密码,因此受到CVE-2016-2183中描述的“SWEET32”漏洞的影响。
PSK-3DES-EDE-CBC-SHA,PSK-3DES-EDE-CBC-SHA,PSK-3DES-EDE-CBC-SHA,PSK-3DES-EDE-CBC-SHA

 
空值
NULL密码套件只是通知浏览器不加密数据,因此有效地消除了通过使用SSL / TLS给出的任何保护。
ECDHE-RSA-NULL-SHA,ECDHE-ECDSA-NULL-SHA,AECDH-NULL-SHA,ECDH-RSA-NULL-SHA,ECDH-ECDSA-NULL-SHA,NULL-SHA256,NULL-SHA, ECDHE-RSA-NULL-SHA,ECDHE-ECDSA-NULL-SHA,AECDH-NULL-SHA,ECDH-RSA-NULL-SHA,ECDH-ECDSA-NULL-SHA,NULL-SHA256,NULL-SHA, ECDHE-RSA-NULL-SHA,ECDHE-ECDSA-NULL-SHA,AECDH-NULL-SHA,ECDH-RSA-NULL-SHA,ECDH-ECDSA-NULL-SHA,NULL-SHA256,NULL-SHA, ECDHE-RSA-NULL-SHA,ECDHE-ECDSA-NULL-SHA,AECDH-NULL-SHA,ECDH-RSA-NULL-SHA,ECDH-ECDSA-NULL-SHA,NULL-SHA256,NULL-SHA, RSA-NULL-SHA256

哈希
SHA-1
微软和谷歌都宣布使用它是不合适的。微软在谈到HTTPS的SSL / TLS时,早在2013年就会注意到,它们将不再支持SHA1作为2016年以后的安全算法.Google公布了类似的消息,称他们将在2016年期间对公司使用SHA1进行处罚,不再支持在2016年之后 - 该公告和一些进一步的信息可在这里:https :  //security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html。 Microsoft还发布了以下文章,其中显示了在Internet Explorer和Edge中的淘汰行为:https : //blogs.windows.com/msedgedev/2016/11/18/countdown-to-sha-1-deprecation/#Jeb54DCIEtIIcY4r.97
参考资料
https://blogs.windows.com/msedgedev/2016/11/18/countdown-to-sha-1-deprecation/#Jeb54DCIEtIIcY4r.97
https://security.googleblog.com/2014/09/gradually-sunsetting -sha-1.HTML

证书问题

自签名证书是未经认可机构签署的证书。由于攻击者可以简单地创建自己的“伪造”证书,因此最终用户无法知道该证书不是预期的证书,因此可以有效地使SSL / TLS提供的保护无效,因此允许定位攻击者建立中间人攻击以捕获所有加密数据并修改客户端请求和服务器响应。这与由无法识别的证书颁发机构(CA)签署的证书不同,因为攻击者将无法伪造这些证书,尽管客户端可能将证书颁发机构作为其本地存储区内的受信任者;
具有错误主机名的证书
如果通用名称与服务器的主机名不匹配,则用户可能无法确定证书是否用于该服务,这通常会导致Web浏览器中的安全错误,并要求用户“点击”查看应用程序的消息。如果启用HSTS,这也将阻止用户访问该应用程序。这可能需要一定程度的社会工程对尝试中间连接的攻击者有用,但是在访问此服务时可能会使用用户点击错误消息,因此不会注意到非法证书。
本文标题:TLS / SSL漏洞
本文作者:admin
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t787.html
zhang7482886
沙发zhang7482886网络安全主管 2017-07-31 11:33
很实用哦!
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan