如何验证Qualys 42366 - SSLv3.0/TLSv1.0协议弱CBC模式服务器端漏洞

Question

我的公司使用Qualys扫描我们的应用程序中的漏洞。我收到了一份带有四个漏洞(与SSLv3和密码相关)的报告，我可以搜索每个漏洞，并从Qualys页面上登陆，该命令指定了一个手动命令，在对配置进行更改后，可以运行该命令来验证是否传递了它。

例如，v擦拭QID 38143的通过 - SSL Server Allows Cleartext Communication Vulnerability：

openssl s_client -connect TARGET_IP:443 -cipher eNULL

但是，我无法为QID 42366 - SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST)找到这样的页面。

如何验证我是否通过了这个Qualys？

Answer 1

野兽是由协议中的缺陷引起的，而不是由实现中的错误造成的。

每一台使用CBC密码套件支持TLS1.0的服务器都容易受到攻击。因为使用TLS1.0的唯一其他方法是与RC4一起使用，这意味着如果“猛兽”是一个关注点，则不能允许TLS1.0。

大多数浏览器都使用1/(n-1)拆分来减轻猛兽，因此人们一直支持TLS1.0。

检查服务器是否易受攻击的一种方法：

openssl s_client -connect qualys.jive-mobile.com:443 -tls1 -cipher 'AES:CAMELLIA:SEED:3DES:DES'

维基百科

奎尔