我的一门关于SSL/TLS的课程节选如下,完成阶段的作用:对抗降级攻击。攻击者可以从client_hello消息中删除具有强加密功能的密码套件,从而导致实体同意使用较弱的密码。
change_cipher_spec对反击降级攻击有什么帮助?如果被攻击的人已经删除了强加密方法,而只留下了弱加密方法,因为
浏览 0提问于2018-06-04得票数 1
回答已采纳
SSL/TLS握手受已完成消息、主机密的签名和经过身份验证的散列以及所有先前握手消息的降级尝试的保护。计算修改后的握手的有效哈希值(例如,某些密码套件被移除或更改为无效值),不知道主秘密,也可能不知道原始哈希值(取决于所使用的<
浏览 0提问于2014-10-30得票数 12
回答已采纳
2回答
我使用的是,它是由运行默认密码套件配置的nginx下游管道连接的。然而,既然这是一种CBC方法,我应该关注野兽攻击吗?nginx手册提供了以下建议,可以返回到RC4 (它似乎不受特定攻击的影响):ssl_prefer_server_ciphers on;选择易受野兽攻击的256位还是不选择的128位更好(但可能容
浏览 0提问于2012-07-24得票数 1
回答已采纳
,"protocol":"tcp","severity":2,"pluginID":42873,"pluginName":"SSL中等强度加密套件支持(SWEET32)","pluginFamily":“常规”,“描述”:“远程主机支持使用中等强度加密的SSL加密。Nessus将中等强度视为使用密钥长度至少为64位且小于112位的任何加密</
浏览 272提问于2020-01-29得票数 0
1回答
假设我有一个使用SSL进行加密的应用程序,前提是您无法控制正在协商的密码套件,并且假设在进行加密之前,我对数据进行了一些自定义压缩。最好的压缩方式是什么?如果我继续使用泄气/GZIP是偏执狂,我可能会暴露自己的攻击,攻击者可以公开加密的数据使用选择的纯文本攻击。(类似于犯罪袭击)
浏览 0提问于2013-08-01得票数 10
回答已采纳
在此页上,它说首先发送的是SSL设置,例如版本和密码设置。
如果攻击者想要更改所使用的加密方法,这是什么不可能的呢?
浏览 0提问于2014-06-20得票数 2
回答已采纳
我最近读了一篇文章“回顾TCP/IP协议套件中的安全问题”(https://www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf),解释了对TCP/IP堆栈的几次攻击一种攻击是在TCP层(SYN洪水,或DoS)。另一种是在路由层,即RIP和BGP协议。我理解SSL和HIP在IP层上提供加密+身份验证,因此它不能真正解决路由层的问题。我的问题是,当使用SSL或HIP时,是否存在真
浏览 0提问于2015-05-26得票数 1
我的银行网站使用HTTPS和密码套件ssl_rsa_with_rc4_128_md5。
这套套房的已知弱点是什么?它们对银行相关通信有实际影响吗?
浏览 0提问于2013-10-31得票数 0
与认证后加密(EtA)相比,加密即身份验证(AtE)似乎通常被认为是更好的选择(例如,请参见Crypto.SE问题)。为TLS 1.2 似乎已经意识到这一点编写RFC的人已经选择了使用AtE。澄清,因为这不是写得很好,最初:我指的是实际的加密通道后,握手已经完成。很明显,在执行任何有用的加密形式之前,您必须对服务器进行身份验证并执行密钥交换。
浏览 0提问于2015-05-24得票数 5
回答已采纳
配置加密套件不包括任何Diffie-Hellman密钥交换。最好的猜测,这就是我需要的。此漏洞可能会帮助攻击者对远程服务器进行中间人(MiTM)攻击,因为它可以强制计算完全可预测的Diffie-Hellman秘密。就其本身而言,此缺陷不足以设置MiTM攻击(因此是“无”的风险因素),因为它需要一些SSL实现缺陷才能影响连接到远程主机的客户端之一。要解决此问题,可以升级到OpenSSL 1.0.0,禁用FIPS模式,或者配置服务器使用的加密套件,使其不包
浏览 4提问于2013-01-10得票数 0
1回答
在Apache配置中使用以下密码防止猛兽攻击是常见的做法:不幸的是,RC4被发现有缺陷,现在建议避免使用它。来自Nessus的一份报告:
SSL RC4密码套件支持远程主机在一个或多个密码套件中使用RC4。RC4密码在产生伪随机字节流方面存在缺陷,因此在流中引入了各种各样的小偏差,降低了其随机性。如果明文被反复加密(例如HTTP cookie),并且攻击者能够获得许多(即数千万)密文,攻击者可能能够导出
浏览 0提问于2014-10-31得票数 6
回答已采纳
1回答
对TLS密码的生日攻击发现Tomcat端口(8543)存在漏洞。SSL/TLS协议的所有版本都支持使用DES或3 DES作为对称加密密码的密码套件。
openssl s_client -connect l
浏览 4提问于2017-08-29得票数 1
回答已采纳
我发现ssl挤压工具可以在SSL/TLS服务器上进行攻击,并且不需要执行任何密码操作。我认为无论在握手中使用哪个密码套件,这个工具消耗的CPU功率都是一样的。那么,握手中使用的密码套件是否是使服务器更容易受到使用ssl挤压工具的攻击的一个因素?
如果密码套件真的很重要,这是否意味着攻击者可以指定特定的密码套件进行握手,从而使攻击更有可能成功?
浏览 0提问于2020-05-19得票数 1
由于以下密码器,我们的PCI遵从性扫描仪TrustWave使Win 2003/IIS6 6网站失效:从我的研究来看,这些都是可以的www.ssllabs.com/ssltest/an
浏览 0提问于2012-12-14得票数 4
回答已采纳
1回答
他们还启用了SSL,但我们没有使用它。我们只是在使用80端口。现在,当我做漏洞扫描,一些SSL漏洞被检测到,我担心如果黑客设法破坏SSL,它是否也会影响我的web服务器。谢谢。
浏览 0提问于2015-04-22得票数 1
回答已采纳
我的问题是,如果攻击者从网络获取加密的数据包并代表他/她将其发送到服务器,会发生什么情况。服务器将如何识别它不是合法用户。
浏览 0提问于2017-02-14得票数 1
2回答
在证书中使用公钥的可能攻击
、、、、
TLS版本: TLS 1.2密码套件: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (任何涉及创建主前秘密的密码套件)服务器(S):服务器私钥。客户(C):客户私钥。客户端随机使用服务器的ssl
浏览 0提问于2021-10-19得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
