Forza una connessione tramite SSL3 per rilevare la vulnerabilità di POODLE

9

Ho letto la vulnerabilità di POODLE. Dal mio punto di vista, e correggimi se ho torto, devi consentire che le connessioni siano fatte tramite SSLv3 sul server.

Il server attualmente in esecuzione è impostato su TLS 1.0 nei browser che ho provato, ma non sono sicuro che la connessione effettuerà il downgrade a SSL 3.0 se richiesto dal client.

C'è un modo in Chrome o in qualsiasi altro browser per forzare l'uso di SSL 3.0. Voglio solo verificare se il mio sito (i) consente la connessione tramite SSL 3.0 o no.

    
posta Kami 17.10.2014 - 10:40
fonte

3 risposte

5

Non importa necessariamente cosa il tuo server usi di default - la maggior parte dei server e dei client sono configurati per negoziare il protocollo più alto disponibile. Un aspetto importante dell'attacco di POODLE è che un utente malintenzionato può causare errori di connessione in un protocollo superiore (non vulnerabile) e eseguire il downgrade della vittima su SSL3 . Quindi possono sfruttare la vulnerabilità in SSL 3.

Fonte: link

Quindi il client non ha bisogno di chiedere il downgrade della connessione: un utente malintenzionato con accesso al traffico di rete può farlo. Qualsiasi client che supporta SSL 3 è potenzialmente vulnerabile (se anche il server lo fa e SCSV non è abilitato ad entrambe le estremità).

Ma sì, la maggior parte dei browser ti consente di disabilitare le versioni SSL / TLS e in alcuni casi puoi scegliere di disabilitare i nuovi protocolli.

Dovrebbe essere ovvio che in genere si dovrebbero usare solo questi metodi per disabilitare i vecchi protocolli non sicuri (come SSL 2 e 3 attualmente).

    
risposta data 17.10.2014 - 10:52
fonte
3

Il browser Firefox fornisce il modo più semplice per eseguire tali test tramite le impostazioni avanzate in about:config

dove security.tls.version può essere dei seguenti valori

  • 0 - SSLv3 (imposta il valore massimo e minimo su questo)
  • 1 - TLSv1.0
  • 2 - TLSv1.1
  • 3 - TLSv1.2

Quello che vedrai quando il sito Web non supporta SSLv3 è questo:

Ricordati di reimpostarlo su max 3 e min 1 dopo l'uso.

    
risposta data 17.10.2014 - 11:32
fonte
0

Qualsiasi connessione effettuata su SSL v3 e utilizzando CBC Ciphers è vulnerabile a Poodle attacco. I browser (browser meno recenti e altri client) negoziano SSL mentre scriviamo su di esso.

Sebbene molti abbiano disabilitato SSL per impostazione predefinita e funzionano solo con TLS.

Tieni presente che esiste una nuova vulnerabilità Poodle on TLS di cui non parleremo in questa discussione.

L'unico modo per disattivare tale attacco Poodle on SSL è disabilitare completamente SSL (v3 e precedenti) o se hai davvero bisogno di SSL v3 per la compatibilità con i client più vecchi, rimuovi qualsiasi% cifratura di% da l'elenco di pacchetti di crittografia che il server supporterà.

Se vuoi verificare se il tuo sito supporta SSL, puoi utilizzare SSLLabs o Symantec CertChecker per citarne alcuni.

    
risposta data 16.12.2014 - 23:10
fonte

Leggi altre domande sui tag