所实施的保护措施
2017-11-13 14:16
190 查看
所实施的保护措施
由于其可以破坏基于TLS / SSL加密协议的通信机密性,例如在电子商务网站中经常使用的HTTPS,因此此种漏洞攻击的危害非常严重。根据NopSec首席技术官Michelangelo Sidagni的说法,网站操作人员可以通过在其所有SSL / TLS服务器(包括HTTP,IMAP,POP和SMTP服务器)中禁用SSLv2协议来避免遭受攻击。
他表示:“即使所有SSLv2密码名义上都被禁用了,但是尚未禁用SSLv2协议且未修复CVE-2015-3197漏洞的服务器也易受DROWN攻击影响,因为恶意客户端可能会强制使用SSLv2与EXPORT密码”。
Sidagni表示,OpenSSL是1.0.2g版本中最脆弱且最常见的库,而作为缓解策略,默认情况下SSLv2将在内置时被禁用。更多文章请阅读:美国linux主机cn.bluehost.com
众所周知的历史
SSLv2的历史可以追溯到1995年。由于SSLv2 存在许多漏洞,因此1996年推出了SSLv3。然而,PC Pitstop的网络安全副总裁Dodi Glenn表示,SSLv2 和SSLv3 分别于2011年和2015年被废弃,无论是否出现了DROWN漏洞,这两种协议都应该被禁用。
他指出:“DROWN漏洞的修复方法非常易于实施,只要禁用SSLv2即可。SSLv2漏洞十分具有危害性,不是因为它会自动启用,而是因为客可以利用该漏洞窃取用户的安全数据。”
该报告的联合作者Aviram指出,个人电脑用户只能依赖于服务器和网站管理员,因为他们无法靠自己的力量来抵御攻击。
他表示:“网络浏览器或者其他客户端软件在面对 DROWN漏洞时都无能为力。只有服务器操作人员才能采取措施抵御此种攻击。”
由于其可以破坏基于TLS / SSL加密协议的通信机密性,例如在电子商务网站中经常使用的HTTPS,因此此种漏洞攻击的危害非常严重。根据NopSec首席技术官Michelangelo Sidagni的说法,网站操作人员可以通过在其所有SSL / TLS服务器(包括HTTP,IMAP,POP和SMTP服务器)中禁用SSLv2协议来避免遭受攻击。
他表示:“即使所有SSLv2密码名义上都被禁用了,但是尚未禁用SSLv2协议且未修复CVE-2015-3197漏洞的服务器也易受DROWN攻击影响,因为恶意客户端可能会强制使用SSLv2与EXPORT密码”。
Sidagni表示,OpenSSL是1.0.2g版本中最脆弱且最常见的库,而作为缓解策略,默认情况下SSLv2将在内置时被禁用。更多文章请阅读:美国linux主机cn.bluehost.com
众所周知的历史
SSLv2的历史可以追溯到1995年。由于SSLv2 存在许多漏洞,因此1996年推出了SSLv3。然而,PC Pitstop的网络安全副总裁Dodi Glenn表示,SSLv2 和SSLv3 分别于2011年和2015年被废弃,无论是否出现了DROWN漏洞,这两种协议都应该被禁用。
他指出:“DROWN漏洞的修复方法非常易于实施,只要禁用SSLv2即可。SSLv2漏洞十分具有危害性,不是因为它会自动启用,而是因为客可以利用该漏洞窃取用户的安全数据。”
该报告的联合作者Aviram指出,个人电脑用户只能依赖于服务器和网站管理员,因为他们无法靠自己的力量来抵御攻击。
他表示:“网络浏览器或者其他客户端软件在面对 DROWN漏洞时都无能为力。只有服务器操作人员才能采取措施抵御此种攻击。”
相关文章推荐
- 现代dump技术及保护措施(上)
- 服务器安全保护的具体措施
- 保护措施
- 如何实施异构服务器的负载均衡及过载保护?
- unlink之32位下无保护措施的利用
- 现代dump技术及保护措施(下)
- 保护眼睛的措施
- 如何实施异构服务器的负载均衡及过载保护?
- STM32对内部Flash的保护措施
- iOS 防止崩溃之代码保护注意措施初级剑侠篇(欢迎提建议和分享遇到的问题)
- 基于Linux的网络安全策略和保护措施
- .NET DLL 保护措施详解(四)各操作系统运行情况
- 关于android防止反编译的保护措施——混淆编译
- 帮你保护通用操作系统安全的十大措施
- 简单之局部函数保护,加密等预防措施(动态内存)
- JavaScript实现DDoS攻击原理,以及保护措施。
- 六项措施保护无线安全
- 一些页面保护措施
- .NET DLL 保护措施详解(非混淆加密加壳)
- 现代dump技术及保护措施