[研究]WebInspect報告有Insecure Transport: Insufficient Diffie Hellman Strength ( 11520 )嚴重弱點
2024-10-09
下圖,WebInspect報告有Insecure Transport: Insufficient Diffie Hellman Strength ( 11520 )嚴重弱點
nmap --script ssl-enum-ciphers -p 443 <server-ip>
基本上,關閉這2個 Cipher Suites 就好
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024)
********************************************************************************
【研究】
下圖,使用 IIS Crypto 3.3 Build 17 - Released October 31, 2022
下載和執行 IISCrypto.exe 進行設定,若這2個有被勾選,取消勾選,重新啟動 Windows 即可。
下圖,或修改 Registry 機碼設定
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
新增或修改一個名為 ClientMinKeyBitLength 的 DWORD 值,設置其值為 2048(單位:bit),重新啟動 Windows 。
如果 nmap掃描依然存在,可能是其他問題。
下圖,直接在受測主機的本機,用 nmap 測試,居然和從別台用 nmap 掃描的結果不同,和網管詢問,得知同網段掃描會過 WAF,有可能因此受影響,其實真正的受測主機,並無此弱點。
其他經過的網通 or 資安設備可能也會影響,掃描工具盡可能要能繞過它們,否則掃描結果錯誤,拼命從受測主機上解決,根本解決不掉,因為它根本沒問題。
********************************************************************************
【解決】
[研究]Imperva WAF移除Active Ciphers方法
(完)
沒有留言:
張貼留言