安全-渗透事记
Posted 小狐狸FM
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-渗透事记相关的知识,希望对你有一定的参考价值。
文章目录
前言
信息较敏感,仅文字记录
某单位的授权渗透测试,请勿用于非法用途
漏洞
TLS低版本
渗透测试
使用AWVS渗透测试一个站点的时候发现了该站点的TLS1版本过低
如果启用了TLS 1.0或TLS 1.1时,攻击者可实施中间人攻击,解密客户端与服务器之间的通信。
HTTPS是在HTTP协议上添加了SSL2
可使用下面的指令使用nmap查看TLS的版本是否存在TLS 1.0或TLS 1.1
nmap --script ssl-enum-ciphers -p [端口] [域名或IP]
修复建议
关闭TLS 1.0和TLS 1.1,使用TLS 1.2及其更高版本
以上是关于安全-渗透事记的主要内容,如果未能解决你的问题,请参考以下文章