我的智慧就这样结束了! 我不是一个CI /networking的人,所以我很抱歉,如果我问错误的问题/提供错误的信息。
我正在尝试让客户端网站通过其Trustwave安全扫描,以便它可以继续接受信用卡。 以下是目前事件的时间表:
我真的想自己testing一下,但是正如我所说,这不是我真正的工作 – 我是一名开发人员,虽然我想了解很多关于CI的知识,但我今天没有时间了! 到目前为止,我所做的是使用我的openssl实例来尝试查询,因为我认为Trustwave正在展示它以查看是否可以重新创build证据:
openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL" 当我运行这个,我看到它说TLSv1/SSLv3. Cipher is RC4-SHA TLSv1/SSLv3. Cipher is RC4-SHA ,这会导致我相信Trustwave扫描是错误的,但是由于这是我第一次用openssl做这样的事情,我甚至不确定我是否使用了正确的命令/句法。 有人可以帮助纠正我的语法/validation我的结果对同一个网站?
编辑
据Trustwave介绍,BEAST问题是:
SSL协议通过使用带有链式初始化向量的CBC模式来encryption数据。 这允许已经通过中间人(MITM)攻击或其他手段访问HTTPS会话的攻击者通过结合使用Javascript的分块select边界攻击(BCBA)获得纯文本HTTP报头使用HTML5 WebSocket API,Java URLConnection API或Silverlight WebClient API的代码。 此漏洞通常称为浏览器针对SSL / TLS或“BEAST”的漏洞利用。
据Trustwave报道,补救措施的步骤是:
受影响的用户应该禁用服务器SSLconfiguration中的所有基于块的密码套件,并仅支持RC4密码,这些密码不易完全解决此漏洞。 此漏洞在TLS版本1.1 / 1.2中得到了解决,但是,在撰写本文时,对这些较新的TLS版本的支持尚未得到广泛支持,因此很难禁用早期版本。 另外,受影响的用户还可以将SSLconfiguration为优先于基于块的密码的RC4密码,以限制但不能消除暴露。 如上所述实施缓解优先级技术的受影响用户应该对此漏洞提出申诉并包含SSLconfiguration的详细信息。
从过去一周的通用Googlesearch中收到有关IISCrypto工具的信息。
编辑2:每个请求,这里是什么密码在registry中看起来像:
[\AES 128/128] "Enabled"=false [\AES 256/256] "Enabled"=false [\DES 56/56] "Enabled"=false [\NULL] "Enabled"=false [\RC2 128/128] "Enabled"=false [\RC2 40/128] "Enabled"=false [\RC2 56/128] "Enabled"=false [\RC4 128/128] "Enabled"=true [\RC4 40/128] "Enabled"=false [\RC4 56/128] "Enabled"=false [\RC4 64/128] "Enabled"=false [\Triple DES 168/168] "Enabled"=true
这是最初在这里回答的:
我申请这个,它的工作原理:
它通过https://security.stackexchange.com/users/12375/josh https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on回答-iis
让我知道,如果它的工作