一份关于windows server服务器的安全弊端处置处罚发起（来自绿盟安全评估）_答应traceroute探测弊端(1)

写在末了

在竣事之际，我想重申的是，学习并非如攀缘险要高峰，而是如滴水穿石般的长期累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便大概被巨浪吞噬。然而，对于我们步调员而言，学习是生存之本，是我们在剧烈市场竞争中立于不败之地的关键。一旦制止学习，我们便如同逆水行舟，不进则退，终将被期间的洪流所镌汰。因此，不停罗致新知识，不光是对自己的提升，更是对自己的一份贵重投资。让我们不停磨砺自己，与期间共同进步，誊写属于我们的光辉篇章。
须要完备版PDF学习资源私我
网上学习资料一大堆，但如果学到的知识不成体系，遇到标题时只是浅尝辄止，不再深入研究，那么很难做到真正的技能提升。
须要这份体系化资料的朋侪，可以点击这里获取
一个人可以走的很快，但一群人才气走的更远！岂论你是正从事IT行业的老鸟或是对IT行业感爱好的新人，都欢迎参加我们的的圈子（技能互换、学习资源、职场吐槽、大厂内推、口试辅导），让我们一起学习发展！
办理办法
发起：制止利用IDEA、DES和3DES算法
1、OpenSSL Security Advisory [22 Sep 2016]
链接：https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本：
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器克制利用DES加密算法
紧张是修改conf文件
3、Windows体系可以参考如下链接：
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
验证方法 根据SSL/TLS协议信息泄漏弊端(CVE-2016-2183)原理，通过发送经心构造的数据包到目的服务，根据目的的相应环境，验证弊端是否存在
3.SSL/TLS RC4 信息泄漏弊端(CVE-2013-2566)

弊端名称： SSL/TLS RC4 信息泄漏弊端(CVE-2013-2566)【原理扫描】【可验证】
具体形貌： 安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web欣赏器首版的同时提出的，目的是为网络通讯提供安全及数据完备性。SSL在传输层对网络毗连举行加密。传输层安全（Transport Layer Security），IETF对SSL协议尺度化（RFC 2246）后的产物，与SSL 3.0差异很小。
SSL/TLS内利用的RC4算法存在单字节毛病安全弊端，可答应远程攻击者通太过析统计利用的大量雷同的明文会话，利用此弊端规复纯文本信息。
办理办法
发起：制止利用RC4算法
1、克制apache服务器利用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下设置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于lighttpd加密算法
在设置文件lighttpd.conf中禁用RC4算法，比方：
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384HE-RSA-AES256-GCM-SHA384HE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHAHE-RSA-AES256-SHA256HE-RSA-AES128-SHA256HE-RSA-AES256-SHAHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHAES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”
重启lighttpd 服务。
3、Windows体系发起参考官网链接修复：
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4
验证方法： 根据SSL/TLS RC4 信息泄漏弊端(CVE-2013-2566)原理，通过发送经心构造的数据包到目的服务，根据目的的相应环境，验证弊端是否存在
注意：
这个server2012 KB2868725补丁打不上，有说用KB2992611大概KB2871997可以同作用修复这个弊端，下载测试也一样安装不上，测试了很多多少方法，末了用注册表方式办理，内容如下：
先实验这：
   Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC240/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC256/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC440/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC456/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC464/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Server]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Client]“DisabledByDefault”=dword:00000001
  再实验这个：
   Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
128/128] “Enabled”=dword:00000000
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
40/128] “Enabled”=dword:00000000
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4
56/128] “Enabled”=dword:00000000
  4.SSL/TLS 受诫礼(BAR-MITZVAH)攻击弊端(CVE-2015-2808)

弊端名称： SSL/TLS 受诫礼(BAR-MITZVAH)攻击弊端(CVE-2015-2808)【原理扫描】【可验证】
具体形貌： SSL/TLS协议是一个被广泛利用的加密协议,Bar Mitzvah攻击实际上是利用了"稳固性弊端"，这是RC4算法中的一个缺陷，它可以或许在某些环境下泄漏SSL/TLS加密流量中的密文，从而将账户用户名暗码，光荣卡数据和其他敏感信息泄漏给黑客。
办理办法
暂时办理方法：
SSL/TLS
1、克制apache服务器利用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下设置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于nginx加密算法
1.0.5及以后版本，默认SSL暗码算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本，默认SSL暗码算法是HIGH:!ADH:!MD5
0.8.19版本，默认SSL暗码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及从前版本，默认SSL暗码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或没表明的可以直接修改域名下ssl相干设置为
ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256HE-RSA-AES256-GCM-SHA384HE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHAHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
ssl_prefer_server_ciphers on;
须要nginx重新加载服务
3、关于lighttpd加密算法
在设置文件lighttpd.conf中禁用RC4算法，比方：
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”
重启lighttpd 服务。
4、tomcat参考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
5、欣赏器手工屏蔽方案
Windows 用户：
1）完全关闭 Chrome 欣赏器和Mozilla Firefox欣赏器
2）复制一个平常打开 Chrome 欣赏器(Mozilla Firefox欣赏器)的快捷方式
3）在新的快捷方式上右键点击，进入属性
4）在「目的」反面的空格中字段的末了输入以下下令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
Mac OS X 用户：
1）完全关闭 Chrome 欣赏器
2）找到本机自带的终端（Terminal）
3）输入以下下令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
Linux 用户：
1）完全关闭 Chrome 欣赏器
2）在终端中输入以下下令：google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
如果扫描器跟目的机之间存在WAF，请优先查抄WAF设置。
验证方法 根据SSL/TLS 受诫礼(BAR-MITZVAH)攻击弊端(CVE-2015-2808)原理，通过发送经心构造的数据包到目的服务，根据目的的相应环境，验证弊端是否存在
5.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

弊端名称： SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
具体形貌： 安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web欣赏器首版的同时提出的，目的是为网络通讯提供安全及数据完备性。SSL在传输层对网络毗连举行加密。传输层安全TLS（Transport Layer Security），IETF对SSL协议尺度化（RFC 2246）后的产物，与SSL 3.0差异很小。
当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于即是1024位时，存在可以规复纯文本信息的风险。
DHE man-in-the-middle protection (Logjam)
https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
https://weakdh.org/sysadmin.html
https://en.wikipedia.org/wiki/DiffieE28093Hellman_key_exchange#Security
办理办法
一. http服务器相干设置
1.首老师成大于1024bit(比方2048bit)的dhkey
openssl dhparam -out dhparams.pem 2048
2.然后在对应服务器中设置
Apache2.4.8及以后版本
利用如下设置下令设置（http.conf中大概对应的假造主机设置文件中添加）
SSLOpenSSLConfCmd DHParameters “{path to dhparams.pem}”
Apache2.4.7版本
Apache2.2.31版本及以后版本
redhat debian等大多发行版中最新Apache2.2.x
通过把dhparams.pem的内容直接附加到证书文件后
Apache2.4.7之前2.4.x版本
Apache2.2.31之前版本
dhparam默以为1024bit 无法修改
nginx利用如下下令设置（在对应的假造主机设置文件nginx.conf中server字段内添加）
ssl_dhparam {path to dhparams.pem}
二.如果服务器设置无法修改，比方Apache2.2.31之前版本，可以禁用DHE系列算法，接纳保密性更好的ECDHE系列算法，如果ECDHE不可用可以接纳平常的 RSA。
更多办理方案请参考:
https://weakdh.org/sysadmin.html
6.nginx 缓冲区错误弊端(CVE-2022-41741)

弊端名称： nginx 缓冲区错误弊端(CVE-2022-41741)
具体形貌： 此插件基于版本检测，有大概误报，未开启 MP4 模块的nginx属于误报，请忽略该弊端。
Nginx是美国Nginx公司的一款轻量级Web服务器/反向署理服务器及电子邮件（IMAP/POP3）署理服务器。
Nginx在 ngx_http_mp4_module 中存在弊端，这大概答应攻击者引发 worker 历程的瓦解，大概通过利用特制的 mp4 文件致使 worker 历程出现内存泄漏。该标题仅影响启用了 ngx_http_mp4_module 模块（默认不启用）并在设置文件中利用 .mp4 指令的 NGINX。别的，只有当攻击者可以或许触发利用 ngx_http_mp4_module 对特制 mp4 文件的举行处置处罚时，攻击才有大概乐成。
https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html
办理办法
缓解步调：只答应受光荣户发布音频和视频文件，大概在 NGINX 设置中禁用 MP4 模块，直到升级至修复版本。
厂商补丁:
现在厂商已发布升级补丁以修复弊端，补丁获取链接：
http://nginx.org/download/patch.2022.mp4.txt
7.nginx 越界写入弊端（CVE-2022-41742）

弊端名称： nginx 越界写入弊端（CVE-2022-41742）
具体形貌： 此插件基于版本检测，有大概误报。
Nginx是美国Nginx公司的一款轻量级Web服务器/反向署理服务器及电子邮件（IMAP/POP3）署理服务器。
Nginx Plus 的模块 ngx_http_hls_module 中存在一个弊端，该弊端大概答应当地攻击者粉碎 NGINX 的工作历程内存，从而导致其瓦解或在利用特制的音频或视频文件时产生其他潜伏的影响。只有当设置文件中利用 hls 指令时，该标题才会影响 Nginx Plus。
别的，只有当攻击者可以触发利用模块 ngx_http_hls_module 对特制音频或视频文件举行 处置处罚时，攻击才有大概乐成。一次乐成的利用大概答应一个当地攻击者粉碎 NGINX 的 worker 历程，导致此中断或其他潜伏的影响。
https://mailman.nginx.org/pipermail/nginx-announce/2022/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA.html
办理办法 缓解步调：只答应受光荣户发布音频和视频文件。大概在 NGINX 设置中禁用 HLS 模块，直到升级至修复版本，可缓解此风险。
厂商补丁:
现在厂商已发布升级补丁以修复弊端，补丁获取链接：
http://nginx.org/download/patch.2022.mp4.txt
8.ICMP timestamp哀求相应弊端

弊端名称：ICMP timestamp哀求相应弊端
具体形貌：远程主机会复兴ICMP_TIMESTAMP查询并返回它们体系的当前时间，这大概答应攻击者攻击一些基于时间认证的协议
办理办法
在防火墙上过滤外来的ICMP timestamp（范例 13）报文以及外出的ICMP timestamp复兴报文
具体操纵
注：13，14是ICMP timestamp 哀求相应弊端的规则，11是答应Traceroute探测
一、 windows体系
< ctrl > + < r > 打开cmd下令行，输入下令：netsh firewall set icmpsetting 13 disable
二、 Linux体系
编辑etc/sysconfig/iptables文件，在防火墙规则内里添加如下纪录：
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-request -j DROP
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-reply -j DROP
或在终端下令行输入以下下令：
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
输入完成，生存修改后的规则：service iptables save
重启iptables服务：service iptables restart
查抄新添加的规则是否有用，查抄下令：iptables -L -n
9.答应Traceroute探测

弊端名称： 答应Traceroute探测
具体形貌： 本插件利用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来相识目的网络的网络拓扑。
办理办法
另有兄弟不知道网络安全口试可以提前刷题吗？费时一周整理的160+网络安全口试题，金九银十，做网络安全口试里的显眼包！
王岚嵚工程师口试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，标题不大。
对于有1-3年工作履历，想要跳槽的朋侪来说，也是很好的温习资料！
【完备版领取方式在文末！！】
93道网络安全口试题

内容着实太多，不逐一截图了
黑客学习资源保举

末了给各人分享一份全套的网络安全学习资料，给那些想学习 网络安全的小搭档们一点资助！
对于从来没有打仗过网络安全的同砚，我们帮你准备了具体的学习发展门路图。可以说是最科学最体系的学习门路，各人跟着这个大的方向学习准没标题。
😝朋侪们如果有须要的话，可以接洽领取~
1️⃣零底子入门

① 学习门路

对于从来没有打仗过网络安全的同砚，我们帮你准备了具体的学习发展门路图。可以说是最科学最体系的学习门路，各人跟着这个大的方向学习准没标题。

② 门路对应学习视频

同时每个发展门路对应的板块都有配套的视频提供：

2️⃣视频配套工具&国表里网安册本、文档

① 工具

② 视频

③ 册本

资源较为敏感，未展示全面，须要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆
网上学习资料一大堆，但如果学到的知识不成体系，遇到标题时只是浅尝辄止，不再深入研究，那么很难做到真正的技能提升。
须要这份体系化资料的朋侪，可以点击这里获取
一个人可以走的很快，但一群人才气走的更远！岂论你是正从事IT行业的老鸟或是对IT行业感爱好的新人，都欢迎参加我们的的圈子（技能互换、学习资源、职场吐槽、大厂内推、口试辅导），让我们一起学习发展！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！qidao123.com:ToB企服之家，中国第一个企服评测及软件市场,开放入驻,技术点评得现金