Hello
最近在調查台灣常用金融網站之安全性, 發現郵局網路銀行的伺服器接受 weak
cipher, 尤其是 SSLv2 有缺陷, 應該禁用. 詳細如以下測試報告.
為了維護眾多使用者轉帳與線上交易之安全, 我把這個資料寄給郵局網管
結果鳥都不鳥我...XD
root@www:/home/dbtsai# perl ./ssl-cipher-check.pl webatm.post.gov.tw
Testing webatm.post.gov.tw:443
SSLv3:RC4-MD5 - ENABLED - STRONG 128 bits
SSLv3:DES-CBC3-SHA - ENABLED - STRONG 168 bits
SSLv3:RC4-SHA - ENABLED - STRONG 128 bits
** SSLv3:DES-CBC-SHA - ENABLED - WEAK 56 bits **
** SSLv3:EXP-RC4-MD5 - ENABLED - WEAK 40 bits **
** SSLv3:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
SSLv3:AES128-SHA - ENABLED - STRONG 128 bits
SSLv3:AES256-SHA - ENABLED - STRONG 256 bits
** SSLv2:RC4-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:RC2-CBC-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:DES-CBC-MD5 - ENABLED - WEAK 56 bits **
** SSLv2:EXP-RC4-MD5 - ENABLED - WEAK 40 bits ** (這這這,不是給有心人機會嗎?)
** SSLv2:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
** SSLv2:DES-CBC3-MD5 - ENABLED - WEAK 168 bits **
*WARNING* 9 WEAK Ciphers Enabled.
Total Ciphers Enabled: 14
--
Tsai, Dong-Bang 蔡東邦
-----------------------------------
Blog: http://www.dbtsai.com/blog
--
All Comments