漏洞治理

1、TLS问题

104743 - TLS 1.0 版协议检测
nginx使用配置选项: ssl_protocols  TLSv1.2 TLSv1.3
     
127907 - nginx 1.9.5 < 1.16.1 / 1.17.x < 1.17.3 Multiple Vulnerabilities
150154 - nginx 0.6.x < 1.20.1 1-Byte Memory Overwrite RCE
134220 - nginx < 1.17.7 Information Disclosure
升级nginx版本为1.21.1

2、ssl问题

57582 - SSL Self-Signed Certificate
51192 - SSL Certificate Cannot Be Trusted
104743 - TLS Version 1.0 Protocol Detection

443端口处理一下

3、请求方式限制

11213 - HTTP TRACE / TRACK Methods Allowed
42873 - SSL Medium Strength Cipher Suites Supported (SWEET32)
104743 - TLS Version 1.0 Protocol Detection

所有server的location中加入限制：仅允许get、post请求
     server {
         listen       80;
         server_name  paytest.org.cn;
         rewrite ^(.*)$ https://$host$1 permanent;
         location / {
             limit_except GET POST {
                 deny  all;
             }
      }
 
在pve中设置了443端口允许访问的白名单 

4、trace问题

11213 - HTTP TRACE / TRACK Methods Allowed

httpd的trace问题：
 vi /usr/local/apache/conf/httpd.conf
在尾部追加：TraceEnable off
重启httpd服务即可

5、TLS版本问题

104743 - TLS Version 1.0 Protocol Detection

# 原始配置
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ;
# 修复配置
ssl_protocols TLSv1.2 TLSv1.3;

6、ssl算法问题

42873 - SSL Medium Strength Cipher Suites Supported (SWEET32)

iptables -I INPUT -p tcp --dport 5432  -s 124.17.5.0/24  -j ACCEPT
 
在nginx.conf中修改ssl的算法：
 ssl_ciphers HIGH:!aNULL:!MD5:!DES:!3DES;

posted @ 2023-06-25 12:48 kunyashaw 阅读(565) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· linux常见软件的环境搭建

· 网络故障排查

· nginx相关配置

· nginx ssl 漏洞修复

· 漏洞解决办法

阅读排行：
· 周边上新：园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源！
· 分享 3 个 .NET 开源的文件压缩处理库，助力快速实现文件压缩解压功能！
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试？测试工程师会被淘汰吗？

公告

昵称： kunyashaw
园龄： 11年9个月
粉丝： 41
关注： 5

+加关注

2025年3月

日

一

二

三

四

五

六

改变自己，从点滴做起

想法->言语->行动->习惯->命运

漏洞治理

公告

随笔分类 (149)

相册 (7)

阅读排行榜

最新评论