案主的 server 是該公司 MIS 切出來的一台 vm
客戶找外面公司針對網站做弱點掃描,發現 SSL 有開放 3DES 加密
於是我去改了 ssl.conf,在 cipher 中禁止了 3DES 相關內容
但重起後用網頁工具去掃描都還掃的到
https://cryptoreport.websecurity.symantec.com/checker/
https://www.ssllabs.com/
自己用 nmap 去掃是沒有的
nmap --script ssl-enum-ciphers -p 443 127.0.0.1
後來改用另一台 server 執行 nmap 發現也有
nmap --script ssl-enum-ciphers -p 443 www.SAMPLE.com
於是確定了工具掃到的應該都是上一層 server 的設定,猜想應該是 reverse proxy 的內容
所以產生了幾個問題請教
1. 假設 rps 的 ssl.conf 有允許 3DES,但我的 server 是沒有的,這樣到底有沒有開放
2. 遇到這樣的配置,要過安全掃描的話該怎麼解決
--
客戶找外面公司針對網站做弱點掃描,發現 SSL 有開放 3DES 加密
於是我去改了 ssl.conf,在 cipher 中禁止了 3DES 相關內容
但重起後用網頁工具去掃描都還掃的到
https://cryptoreport.websecurity.symantec.com/checker/
https://www.ssllabs.com/
自己用 nmap 去掃是沒有的
nmap --script ssl-enum-ciphers -p 443 127.0.0.1
後來改用另一台 server 執行 nmap 發現也有
nmap --script ssl-enum-ciphers -p 443 www.SAMPLE.com
於是確定了工具掃到的應該都是上一層 server 的設定,猜想應該是 reverse proxy 的內容
所以產生了幾個問題請教
1. 假設 rps 的 ssl.conf 有允許 3DES,但我的 server 是沒有的,這樣到底有沒有開放
2. 遇到這樣的配置,要過安全掃描的話該怎麼解決
--
All Comments