[研究][ASP.NET][C#]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法

[研究][ASP.NET][C#][WebForm]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法

2020-10-20
2021-11-22 修訂

Eval() 有時候會被 Fortify SCA 報告有 Cross-Site Scripting: Persistent 問題，有時候又不會，敝人尚未弄清原因。

<asp:Label ID="Label2" runat="server" Text='<%# Eval("CaseTypeName") %>' />

只要參考這篇用 HtmlEncode 或 HtmlSanitizer 就可解決。

[研究]一些HtmlEncode、HtmlSanitizer與Fortify SCA的XSS (Cross-Site Scripting)檢測https://shaurong.blogspot.com/2021/11/htmlencodehtmlsanitizerfortify-scaxss.html

Default.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication6.Default" %> <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <title></title> </head> <body> <form id="form1" runat="server"> <div> <asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:TestDBConnectionString %>" SelectCommand="SELECT * FROM [Table1]"> </asp:SqlDataSource> <br /> <asp:ListView ID="ListView1" runat="server" DataKeyNames="id" DataSourceID="SqlDataSource1" InsertItemPosition="LastItem"> <AlternatingItemTemplate> <tr style="background-color:#FFF8DC;"> <td> <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" /> <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" /> </td> <td> <asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' /> </td> <td> <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldText")) %>' /> </td> <td> <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# Eval("FieldDateTime") %>' /> </td> <td> <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' /> </td> <td> <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" /> </td> </tr> </AlternatingItemTemplate> <EditItemTemplate> <tr style="background-color:#008A8C;color: #FFFFFF;"> <td> <asp:Button ID="UpdateButton" runat="server" CommandName="Update" Text="更新" /> <asp:Button ID="CancelButton" runat="server" CommandName="Cancel" Text="取消" /> </td> <td> <asp:Label ID="idLabel1" runat="server" Text='<%# Eval("id") %>' /> </td> <td> <asp:TextBox ID="FieldTextTextBox" runat="server" Text='<%# Bind("FieldText") %>' /> </td> <td> <asp:TextBox ID="FieldDateTimeTextBox" runat="server" Text='<%# Bind("FieldDateTime") %>' /> </td> <td> <asp:TextBox ID="FieldIntTextBox" runat="server" Text='<%# Bind("FieldInt") %>' /> </td> <td> <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Bind("FieldBit") %>' /> </td> </tr> </EditItemTemplate> <EmptyDataTemplate> <table runat="server" style="background-color: #FFFFFF;border-collapse: collapse;border-color: #999999;border-style:none;border-width:1px;"> <tr> <td>未傳回資料。</td> </tr> </table> </EmptyDataTemplate> <InsertItemTemplate> <tr style=""> <td> <asp:Button ID="InsertButton" runat="server" CommandName="Insert" Text="插入" /> <asp:Button ID="CancelButton" runat="server" CommandName="Cancel" Text="清除" /> </td> <td>&nbsp;</td> <td> <asp:TextBox ID="FieldTextTextBox" runat="server" Text='<%# Bind("FieldText") %>' /> </td> <td> <asp:TextBox ID="FieldDateTimeTextBox" runat="server" Text='<%# Bind("FieldDateTime") %>' /> </td> <td> <asp:TextBox ID="FieldIntTextBox" runat="server" Text='<%# Bind("FieldInt") %>' /> </td> <td> <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Bind("FieldBit") %>' /> </td> </tr> </InsertItemTemplate> <ItemTemplate> <tr style="background-color:#DCDCDC;color: #000000;"> <td> <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" /> <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" /> </td> <td> <asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' /> </td> <td> <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldText")) %>' /> </td> <td> <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# Eval("FieldDateTime") %>' /> </td> <td> <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' /> </td> <td> <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" /> </td> </tr> </ItemTemplate> <LayoutTemplate> <table runat="server"> <tr runat="server"> <td runat="server"> <table id="itemPlaceholderContainer" runat="server" border="1" style="background-color: #FFFFFF;border-collapse: collapse;border-color: #999999;border-style:none;border-width:1px;font-family: Verdana, Arial, Helvetica, sans-serif;"> <tr runat="server" style="background-color:#DCDCDC;color: #000000;"> <th runat="server"></th> <th runat="server">id</th> <th runat="server">FieldText</th> <th runat="server">FieldDateTime</th> <th runat="server">FieldInt</th> <th runat="server">FieldBit</th> </tr> <tr id="itemPlaceholder" runat="server"> </tr> </table> </td> </tr> <tr runat="server"> <td runat="server" style="text-align: center;background-color: #CCCCCC;font-family: Verdana, Arial, Helvetica, sans-serif;color: #000000;"> <asp:DataPager ID="DataPager1" runat="server"> <Fields> <asp:NextPreviousPagerField ButtonType="Button" ShowFirstPageButton="True" ShowLastPageButton="True" /> </Fields> </asp:DataPager> </td> </tr> </table> </LayoutTemplate> <SelectedItemTemplate> <tr style="background-color:#008A8C;font-weight: bold;color: #FFFFFF;"> <td> <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" /> <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" /> </td> <td> <asp:Label ID="idLabel" runat="server" Text='<%# Eval("id") %>' /> </td> <td> <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("FieldText")) %>' /> </td> <td> <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldDateTime")) %>' /> </td> <td> <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' /> </td> <td> <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" /> </td> </tr> </SelectedItemTemplate> </asp:ListView> </div> </form> </body> </html>

Default.aspx.cs

using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; using WebApplication6; namespace WebApplication6 { public partial class Default : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { } } }

Common.cs

using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace WebApplication6 { public class Common { static public string AntiXssEval(object object1) { return System.Web.Security.AntiXss.AntiXssEncoder.HtmlEncode((object1 == null ? "" : object1.ToString()), true); } static public string HtmlSanitizerEval(object object1) { return MyAntiXssFilter((object1 == null ? "" : object1.ToString())); } public static string MyAntiXssFilter(object inputObject) { string inputStr = ""; if (inputObject != null) { inputStr = inputObject.ToString(); } var sanitizer = new Ganss.XSS.HtmlSanitizer(); sanitizer.AllowedAttributes.Add("class"); sanitizer.AllowedAttributes.Add("id"); var sanitized = sanitizer.Sanitize(inputStr); return sanitized; } } }

結論：

一般文字、數字

<asp:Label ID="idLabel" runat="server" Text='<%# Eval("id") %>' />

改成

<asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' />

注意，日期修改要連前面的 String.Format 都放入 AntiXssEval 中，否則顯示會包含 時分秒部分。

<asp:Label ID="myDateLabel" runat="server" Text='<%# String.Format("{0:MM/dd/yyyy}", Eval("myDate")) %>' />

改成

<asp:Label ID="myDateLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(String.Format("{0:MM/dd/yyyy}", Eval("myDate"))) %>' />

(完)

[研究]Youtube影片自動翻譯字幕

[研究]Youtube影片自動翻譯字幕

2020-10-08

注意，不是滑鼠移過去就可以，要左鍵點一下 (click)。

(下圖) 實際測試 Android 手機 Chrome 連上 youtube 沒有自動翻譯功能，MS-Windows 上才有。

(完)

[研究] Apache Web Server (httpd-2.4.46.tar.gz) 安裝 (CentOS 8.2)

[研究] Apache Web Server (httpd-2.4.46.tar.gz) 安裝 (CentOS 8.2)

2020-10-03

安裝參考

http://httpd.apache.org/docs/2.4/en/install.html

yum  -y  install  apr  apr-util  pcre  apr-devel  apr-util-devel  pcre-devel  gcc  make  redhat-rpm-config

cd  /usr/local/src

wget  http://apache.stu.edu.tw//httpd/httpd-2.4.46.tar.gz

tar  xvfz httpd-2.4.46.tar.gz

cd  httpd-2.4.46

./configure

make

make  install

啟動

/usr/local/apache2/bin/apachectl -k start

測試 ( 若 IP 為 192.168.128.130)

http://192.168.128.130/

停止

/usr/local/apache2/bin/apachectl -k stop

設定檔案在

/usr/local/apache2/conf/httpd.conf

(完)

[研究] Apache Tomcat 9.0.38 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache Tomcat 9.0.38 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-03

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

參考

[研究] Apache Tomcat 7, 8.5, 9.0 使用 SSL 連線

http://shaurong.blogspot.com/2020/10/apache-tomcat-7-ssl.html

apache-tomcat-9.0.38.exe

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.143

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-03 08:23 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.143

Host is up (0.00013s latency).

PORT     STATE SERVICE

8443/tcp open  https-alt

| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-03T00:17:37

| Not valid after:  2021-01-01T00:17:37

| MD5:   65ec 1368 bce7 d8fe 368e 14f9 7c24 f84f

|_SHA-1: 1e57 eaed 13ef 3337 6007 2fd7 d321 235b b983 69b7

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.1: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.2: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.43 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Apache Tomcat 8.5.58 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache Tomcat 8.5.58 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-03

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

參考

[研究] Apache Tomcat 7, 8.5 使用 SSL 連線

http://shaurong.blogspot.com/2020/10/apache-tomcat-7-ssl.html

apache-tomcat-8.5.58.exe

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.140

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-03 07:39 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.140

Host is up (0.0010s latency).

PORT     STATE SERVICE

8443/tcp open  https-alt

| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-02T23:35:41

| Not valid after:  2020-12-31T23:35:41

| MD5:   3adc 07e1 7b86 11fa 3881 5cf6 b53a 6411

|_SHA-1: 4570 b5e0 23bb 9d31 47c9 25fa 76b6 f74c 28b5 d50f

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.1: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.2: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1)  A

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.95 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Apache Tomcat 7.0.106 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

 [研究] Apache Tomcat 7.0.106 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

[研究] Apache Tomcat 7 使用 SSL 連線

http://shaurong.blogspot.com/2020/10/apache-tomcat-7-ssl.html

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.128

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 22:08 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.128

Host is up (0.00088s latency).

PORT     STATE SERVICE

8443/tcp open  https-alt

| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-02T14:07:42

| Not valid after:  2020-12-31T14:07:42

| MD5:   edf5 e679 88a6 880c c107 a82f 3fdd c3fc

|_SHA-1: 2815 7b76 4da4 98b3 e884 4bc5 7a73 f160 cbc7 493d

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.1: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|   TLSv1.2: 

|     ciphers: 

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

|     compressors: 

|       NULL

|     cipher preference: client

|     warnings: 

|       Key exchange (dh 1024) of lower strength than certificate key

|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.34 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Apache Tomcat 7., 8.5.x, 9.x 使用 SSL 連線安裝設定 (Windows Server 2019)

[研究] Apache Tomcat 7.x, 8.5.x, 9.x 使用 SSL 連線安裝設定 (Windows Server 2019)

2020-10-02

官方網站

https://tomcat.apache.org/download-70.cgi

下載安裝 apache-tomcat-7.0.106.exe

參考

https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

建立憑證

C:\>mkdir KeyStore

C:\>cd KeyStore

C:\KeyStore>"C:\Program Files\Java\jre1.8.0_261\bin\keytool" -genkey -alias TomcatSSL -keyalg RSA -keypass KeyPassword -storepass StorePassword -keystore keystore.jks -deststoretype pkcs12

警告: PKCS12 金鑰儲存庫不支援不同的儲存庫和金鑰密碼。忽略使用者指定的 -keypass 值。

您的名字與姓氏為何？

  [Unknown]:

您的組織單位名稱為何？

  [Unknown]:

您的組織名稱為何？

  [Unknown]:

您所在的城市或地區名稱為何？

  [Unknown]:

您所在的州及省份名稱為何？

  [Unknown]:

此單位的兩個字母國別代碼為何？

  [Unknown]:

CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown 正確嗎？

  [否]:  y

C:\KeyStore>

********************************************************************************

編輯設定檔 conf\server.xml

若為 apache tomcat 7.x，修改

C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml

找到 <Connector port="8443" 開頭，編輯如下

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="C:/KeyStore/keystore.jks" keystorePass="StorePassword"

               clientAuth="false" sslProtocol="TLS" />

********************************************************************************

若為 apache tomcat 8.5.x，修改

C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml 

中

<!--

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true">

        <SSLHostConfig>

            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"

                         type="RSA" />

        </SSLHostConfig>

    </Connector>

    -->

為

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="C:/KeyStore/keystore.jks" keystorePass="StorePassword"

               clientAuth="false" sslProtocol="TLS">

        <!-- <SSLHostConfig> 

            <Certificate certificateKeystoreFile="C:\KeyStore\keystore.jks" 

                          type="RSA" />

         </SSLHostConfig> -->

    </Connector>

********************************************************************************

若為 apache tomcat 9.x，修改

C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf\server.xml 

內容改法同8.5

********************************************************************************

重新啟動【服務】中的 Apache Tomcat 7.0 Tomcat7 服務

https://localhost:8443/

或

https://xxx.xxx.xxx.xxx:8443/

即可連上。

PS：記得關閉防火牆或開放port 8443

(完)

[研究] Apache HTTP Server 2.4.46 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache HTTP Server 2.4.46 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

Apache HTTPD Server 

https://httpd.apache.org/

https://httpd.apache.org/docs/current/platform/windows.html#down

https://www.apachelounge.com/download/

或

XAMPP 3.2.4 (內含 HTTPd 2.4.46)

https://www.apachefriends.org/download.html

參考

[研究] Apache HTTPd Web Server 2.4.23 + HTTPS (SSL) 安裝 (Windows 2012 R2)

http://shaurong.blogspot.com/2016/08/apache-httpd-web-server-2423-https-ssl.html

環境

Windows Server 2019  + httpd-2.4.46-win64-VS16.zip

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.128

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 20:11 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.128

Host is up (0.00s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=Taiwan/countryName=TW

| Issuer: organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=Taiwan/countryName=TW

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-02T12:06:04

| Not valid after:  2021-10-02T12:06:04

| MD5:   66e1 3678 8066 52a8 eeff d011 a991 f06f

|_SHA-1: 66f3 cb11 7f03 198d eb73 be59 0fd9 cbb1 db38 dfac

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A

|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_IDEA_CBC_SHA (rsa 2048) - A

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher IDEA vulnerable to SWEET32 attack

|   TLSv1.1: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A

|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_IDEA_CBC_SHA (rsa 2048) - A

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher IDEA vulnerable to SWEET32 attack

|   TLSv1.2: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_256_CCM_8 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_256_CCM (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_CCM_8 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_CCM (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CCM_8 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CCM (rsa 2048) - A

|       TLS_RSA_WITH_ARIA_256_GCM_SHA384 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CCM_8 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CCM (rsa 2048) - A

|       TLS_RSA_WITH_ARIA_128_GCM_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A

|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A

|     compressors: 

|       NULL

|     cipher preference: server

|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.30 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2016 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2016 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2016 + IIS + nmap 7.80

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.137

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 16:49 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.137

Host is up (0.0010s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-1VCCHBG7475

| Issuer: commonName=WIN-1VCCHBG7475

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-02T08:48:32

| Not valid after:  2021-10-02T00:00:00

| MD5:   d5a4 054c 1028 7523 89cc 5bba ca8f 06ad

|_SHA-1: ca09 533e 5aa6 d2a8 292d fe6f cf3c 323f a031 6bb9

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|   TLSv1.1: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|   TLSv1.2: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A

|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|_  least strength: C

MAC Address: 00:0C:29:E5:36:D2 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.43 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2012 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

 [研究] Windows Server 2012 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2012 R2 + IIS + nmap 7.80 

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.136

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 15:26 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.136

Host is up (0.00088s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-JVLONPDQ6DO

| Issuer: commonName=WIN-JVLONPDQ6DO

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T07:26:21

| Not valid after:  2021-10-02T00:00:00

| MD5:   98bc 0d11 af83 ee14 89c9 459b afaf 72a9

|_SHA-1: 6589 3497 7a61 4e2d 0248 4a87 9722 0f14 f89c a545

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|   TLSv1.1: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|   TLSv1.2: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A

|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Key exchange (dh 1024) of lower strength than certificate key

|       Weak certificate signature: SHA1

|_  least strength: C

MAC Address: 00:0C:29:1A:6D:80 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.17 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2012 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2012 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2012 + IIS + nmap 7.80 

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.135

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 14:44 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.135

Host is up (0.00s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-E5K75Q6PICR

| Issuer: commonName=WIN-E5K75Q6PICR

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T06:43:44

| Not valid after:  2021-10-02T00:00:00

| MD5:   ed0e 973f ed2a 37d6 10ca 8df2 59ec 20dd

|_SHA-1: 257b 4d12 80a7 b937 069c 3e48 ba2b 983e 8529 7753

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|   TLSv1.1: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|   TLSv1.2: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|_  least strength: C

MAC Address: 00:0C:29:24:49:51 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.47 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2008 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2008 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2008 with Service Pack 2 (x64)  + IIS + nmap 7.80 

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.134

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 14:03 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.134

Host is up (0.00s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-GVCGR4O3RNL

| Issuer: commonName=WIN-GVCGR4O3RNL

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T06:02:54

| Not valid after:  2021-10-02T00:00:00

| MD5:   2230 547c 58dc 3d6d b55c a67a 79fb 4b5a

|_SHA-1: bafc 940f e74b 968b 392d ee3d 6001 16e5 eecb d93c

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|_  least strength: C

MAC Address: 00:0C:29:FC:BD:2E (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.32 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA1

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2008 with Service Pack 2 (x64)  + IIS + nmap 7.80 

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.133

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 11:45 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.133

Host is up (0.00013s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN-P0WOV05PXAS

| Issuer: commonName=WIN-P0WOV05PXAS

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T03:44:23

| Not valid after:  2021-10-02T00:00:00

| MD5:   121f 7e65 ad8a 5db5 d7aa ff2f 4a73 0c92

|_SHA-1: f0f8 9183 fc7c 3088 3e88 0976 29df 09aa 5f83 4e2a

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Weak certificate signature: SHA1

|_  least strength: C

MAC Address: 00:0C:29:F1:DE:EB (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.25 seconds

********************************************************************************

結果：

支援AES_256

支援 SHA1

支援 rsa 2048

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2003 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2003 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

[研究] Windows 2003 R2 安裝 IIS 和 HTTPS (SSL) 連線

http://shaurong.blogspot.com/2015/04/windows-2003-r2-iis-https-ssl.html

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

 Windows Server 2003 R2 + IIS + IE6 + nmap 7.80

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.129

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 11:17 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.129

Host is up (0.00013s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=w2003r2/organizationName=o/stateOrProvinceName=\xE5\x8F\xB0\xE7\x81\xA3/countryName=TW

| Issuer: commonName=MyCA

| Public Key type: rsa

| Public Key bits: 1024

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2020-10-02T03:00:04

| Not valid after:  2021-10-02T03:10:04

| MD5:   d157 92ab 73e3 0505 eeb9 abfd 13c6 a755

|_SHA-1: 893f c4b6 bfe4 f038 db17 9b40 0b0e 5f36 6159 ee98

| ssl-enum-ciphers: 

|   SSLv3: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 1024) - D

|       TLS_RSA_WITH_RC4_128_SHA (rsa 1024) - D

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024) - D

|       TLS_RSA_WITH_DES_CBC_SHA (rsa 1024) - D

|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D

|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D

|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E

|       TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 - E

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       64-bit block cipher DES vulnerable to SWEET32 attack

|       64-bit block cipher RC2 vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|   TLSv1.0: 

|     ciphers: 

|       TLS_RSA_WITH_RC4_128_MD5 (rsa 1024) - D

|       TLS_RSA_WITH_RC4_128_SHA (rsa 1024) - D

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024) - D

|       TLS_RSA_WITH_DES_CBC_SHA (rsa 1024) - D

|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D

|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D

|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E

|       TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 - E

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|       64-bit block cipher DES vulnerable to SWEET32 attack

|       64-bit block cipher RC2 vulnerable to SWEET32 attack

|       Broken cipher RC4 is deprecated by RFC 7465

|       Ciphersuite uses MD5 for message integrity

|       Forward Secrecy not supported by any cipher

|       Weak certificate signature: SHA1

|_  least strength: E

MAC Address: 00:0C:29:3A:5E:B9 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.02 seconds

********************************************************************************

結果：

支援 SHA1

支援 rsa 1024

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2019 + IIS + nmap 7.80 支援演算法最大長度金鑰 測試

[研究] Windows Server 2019 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

資通安全責任等級分級辦法 EN

https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

附表十 資通系統防護基準.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254364&lan=C

控制措施－構面：系統與通訊保護

控制措施－措施內容：傳輸之機密性與完整性

系統防護需求分級：（高等級系統）支援演算法最大長度金鑰。

環境

Windows Server 2019 + IIS + nmap 7.80

測試

nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.128

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 08:52 ￥x￥_?D·CRE?!

Nmap scan report for 192.168.128.128

Host is up (0.00s latency).

PORT    STATE SERVICE

443/tcp open  https

| ssl-cert: Subject: commonName=WIN2019A

| Subject Alternative Name: DNS:WIN2019A

| Issuer: commonName=WIN2019A

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2020-10-02T00:51:56

| Not valid after:  2021-10-02T00:00:00

| MD5:   883d e1ac 62ad f978 6abf 1144 5fe9 0ce2

|_SHA-1: a815 e8b5 8f66 cb24 6d2d 237b 8902 f8e1 1c79 5f45

| ssl-enum-ciphers: 

|   TLSv1.0: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|   TLSv1.1: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|   TLSv1.2: 

|     ciphers: 

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A

|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A

|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A

|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|     compressors: 

|       NULL

|     cipher preference: server

|     warnings: 

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|_  least strength: C

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.53 seconds

********************************************************************************

結果：

支援 AES_256

支援 SHA384，沒有 SHA512

支援 rsa 2048，沒有 rsa 4096

這是預設支援的，根據 SSDLC 的安全建議，有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

https://www.nartac.com/Products/IISCrypto/Download

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準（英語：Advanced Encryption Standard，縮寫：AES） - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科，自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95