因为ssl3.0有漏洞,所以尽量使用TLSv1.2。
漏洞危害:
HTTPS安全传输通道不可信。
修复建议:
禁止开启SSL3,除非客户端版本比较低,否则应只开启TLS1.2,其他协议均应关闭。
开启TLS1.2 支持
解决:
tomcat的server.xml :
引用
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
注意:jdk7才支持tls1.2,tomcat7.0.56(65?)才默认禁止ssl3.0
附录:参考了 http://blog.csdn.net/jackpk/article/details/47979643
请参考 http://www.freebuf.com/articles/network/62442.html,
免费ssl牢固性测试网站 https://www.ssllabs.com/ssltest/index.html
相关推荐
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
Tomcat7服务器web开发 Tomcat和IIS、Apache等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器,独立的Servlet容器是Tomcat的默认模式。
tomcat漏洞处理.zip
本文仅包含nginx、websphere、tomcat供3类中间件基线整改方法,其中nginx的5大基线扫描漏洞、tomcat的11大漏洞、was的7大漏洞的整改方法。
Alpha / Beta /Stable ...一个新的主要版本的初始...Apache Tomcat 3.1的用户应该更新到3.1.1以关闭安全漏洞,强烈建议他们迁移到当前的生产版本Apache Tomcat 3.3。 的Apache Tomcat 3.0.x的。初始Apache Tomcat版本。
- 异常处理 - 多线程编程 2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring ...
shiro版本时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的...
有些地方有渣渣的硬编码,比如路径什么的,导致不同环境下可能会报错,遇到这样的问题,使用单独的脚本进行测试,或者自己改一下路径,有时间的话会处理一下。 Tomcat CVE_2017_12615 / CVE_2017_12617 tomcat_weak...
公司项目,开发语言为java,中间件为Tomcat,运行过程中,从Tomcat出现了一些异常,现将异常及解决办法记录如下,仅供参考。(不断在补充中…….) 异常一: 1、日志内容 org.apache.coyote....
009-Web安全基础5 - 文件处理漏洞 010-Web安全基础6 - 访问控制漏洞 011-Web安全基础7 - 会话管理漏洞 012-Web安全基础8 - 实战练习 013-Apache-finished 014-IIS 015-jboss 016-tomcat 017-weblogic(2) ...
提供方法解决appscan扫描出来的漏洞《发现可高速缓存的SSL页面》,主要是设置页面不被缓存
009-Web安全基础5 - 文件处理漏洞.pptx 010-Web安全基础6 - 访问控制漏洞.pptx 011-Web安全基础7 - 会话管理漏洞.pptx 012-Web安全基础8 - 实战练习.pptx 013-Apache服务器安全.pptx 014-IIS服务器安全.pptx 015-...
实验一:tomcat部署war包木马并利用 第二节:weblogic部署war包木马并利用 实验二:weblogic部署war包木马并利用 第七天 第三节:oss部署war包木马并利用 实验三:oss部署war包木马并利用 第五章:struts2漏洞利用 ...
漏洞清单常见突破快速检测,目前包含以下突破的检测。测试环境为win10,python3。使用前需安装相关库:py -3 -m pip install -r requirements.txt有问题可提问题,最好附上报错截图。已发现的BUG:有些突破性的判断...
CISP-PTE渗透测试工程师认证培训讲义PPT: ...文件处理漏洞 访问控制漏洞 会话管理漏洞 实战练习 中间件安全-Apache 中间件安全-IIS 中间件安全-jboss 中间件安全-tomcat 中间件安全-weblogic web应用服务器安全加固
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析...
5)、了解常见的系统攻击过程及手段 6)、学会常见的系统攻击方法 7)、学会Web服务器的信息获取 8)、学会IIS、Apache、tomcat、Weblogic等常见中间件的漏洞利用方式及加固方法 9)、深入了解各类SQL注入漏洞的原理...
09 某局点VCFC控制器扫描到Apache Tomcat文件包含漏洞(CVE-2020-1938)的经验案例 10 ADDC5.3方案中控制器对应下发的组播配置 11 SDN网络VCFC强控方案下控制器创建VFW导致虚机访问网关S12508F-AF不通案例分析 12 ...
不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件...
- 异常处理 - 多线程编程 2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring ...