Ho testato il mio server contro gli attacchi crittografici e ho alcuni problemi importanti e minori. Tuttavia, vorrei sapere come attenuare e proteggere da tale avviso di vulnerabilità:
Negoziazione avviata dal client sicuro - DoS DANGER
Ho testato il mio server contro gli attacchi crittografici e ho alcuni problemi importanti e minori. Tuttavia, vorrei sapere come attenuare e proteggere da tale avviso di vulnerabilità:
Negoziazione avviata dal client sicuro - DoS DANGER
how can I mitigate and protect against such vulnerability warning
Bene, in generale, tutti sanno che difendersi dagli attacchi DoS, qualunque sia la loro natura, è una cosa difficile e costosa da ottenere. Tornando al tuo problema essenziale, succede quando un utente malintenzionato travolge il tuo server con richieste di connessione sicure che lo portano a consumare più risorse della CPU. Questo problema è chiamato la rinegoziazione TLS del MITM ed è stato scoperto per la prima volta nel 2009 sfruttando un difetto in TLS v.1 / SSL v. 3 stack layer prima di RFC 5746 e sono apparse le sue implementazioni. In precedenza, diverse patch venivano applicate più o meno in modo genuino.
Quindi, al momento, suppongo che la tua versione di OpenSSL sia obsoleta. Puoi aggiornarlo almeno alla versione OpenSSL versione 0.9.8m o successiva ( ma le versioni OpenSSL dalla 1.0.1 alla 1.0.1f e OpenSSL 1.0.2-beta sono interessate dal problema HeartBleed ).
Sia che utilizzi Apache (versioni recenti), IIS o qualsiasi altro prodotto che supporti la funzione di rinegoziazione avviata dal client, disabilitalo (spesso è il loro predefinito).
Se sai di saperne di più su come questa vulnerabilità, fai riferimento a questo: SSL / TLS Renegotiation Handshake MiTM Iniezione di dati in chiaro testo - a medio o basso rischio? . Inoltre, potresti essere interessato a leggere il primo strumento sviluppato per questo tipo di attacco DoS.
Leggi altre domande sui tag cryptography denial-of-service tls