Domande con tag 'beast'

domande con tag
2
risposte

come sperimentare con attacchi BEAST

dalla ricerca di base, la mia comprensione è: è vulnerabile in TLS 1.0 in SSL 3 L'attaccante può iniettare javascript e passare un testo noto a un server in cui l'autore dell'attacco otterrà la versione crittografata del noto testo normale e...
posta 08.09.2013 - 21:56
1
risposta

Gli attacchi BEAST e CRIME si applicano a un servizio IMAP?

Durante l'impostazione del servizio DovAPot IMAP, ho notato che i parametri predefiniti non sono ottimali, ad esempio consente SSLv3. Utilizzando il programma TestSSLServer.java di Thomas Pournin , ho visto quanto segue: ... Minimal encryptio...
posta 15.02.2014 - 12:07
1
risposta

Rilevamento di POODLE e BEAST usando nmap

Hai bisogno del tuo parere di un esperto per quanto segue - POODLE: possiamo dedurre se un server è vulnerabile al barboncino se lo è supporta il protocollo sslv3 e utilizza CBC Cipher. BEAST - Qualsiasi server che supporta sslv3 OR TLS...
posta 18.02.2016 - 19:31
1
risposta

L'RDP è suscettibile all'attacco BEAST?

Ho server Windows 2008 R2 che non riescono a una scansione di vulnerabilità PCI perché hanno RDP abilitato (deve essere disabilitato). Ho applicato le impostazioni PCI dello strumento IISCrypto , ma devo lasciare TLS 1.0 abilitato per non in...
posta 16.02.2015 - 06:17
3
risposte

Ha senso tenere RC4?

So che il cifrario RC4 quando viene utilizzato con SSL è vulnerabile a determinati attacchi , che nel peggiore dei casi potrebbero comportare il furto di token di autenticazione. Ma RC4 è anche raccomandato come cifrario per mitigare l'attacco...
posta 13.12.2013 - 23:30
1
risposta

OpenSSL: abilita le suite di crittografia per versione di protocollo

C'è un modo per configurare esplicitamente OpenSSL per consentire AES (o in generale, cifrari a blocchi) solo per i client che usano una versione TLS > = 1.1? Questo proteggerebbe dall'attacco BEAST, permettendo comunque l'uso di cifre più...
posta 09.09.2013 - 18:24
1
risposta

Terminologia delle suite "Must have" e "Preferred Cipher"

Ho ricevuto i seguenti consigli per impostare le suite di crittografia per mitigare adeguatamente l'attacco di Beast su un server HTTPD Apache appena configurato. Preferred ciphers: RC4-SHA, RC4-MD5 Must Have Ciphers: AES256-SHA, AES12...
posta 19.10.2013 - 01:15
1
risposta

BEAST alcuni fraintendimenti

Stavo leggendo il Here Come The ⊕ Ninjas documento sull'attacco BEAST scoperto da Thai Duong & Juliano Rizzo. Ci sono due punti che non riesco a capire. Alla sezione 5 - Applicazione: Decrittografia delle richieste HTTPS , spiegano p...
posta 29.03.2015 - 15:15
1
risposta

Esiste una vulnerabilità quando TLS è decodificato, quindi crittografato con OpenSSL che è vulnerabile a BEAST o CRIME?

Supponiamo che il seguente proxy TLS esista User <-----> Load Balancer that decrypts, encrypts <------> WebServer Dove il server Web esegue una versione vulnerabile di OpenSSL. L'utente può sfruttare il server Web se è vuln...
posta 10.08.2015 - 16:13
3
risposte

Attacco CRIME - Se Javascript può essere iniettato sulla macchina attaccata, perché non invia direttamente il cookie a un server di rimozione?

Ho letto su CRIME - Come battere il successore BEAST? domande e risposte, ma non lo capisco: se Javascript può essere iniettato ed eseguito sulla macchina attaccata, perché non inviare direttamente il cookie segreto come richiesta AJAX a un se...
posta 09.09.2015 - 03:52