一:漏洞名稱:
POODLE信息泄露漏洞
描述:
POODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代號,俗稱“貴賓犬”漏洞。 此漏洞是針對SSL3.0中CBC模式加密算法的一種padding oracle攻擊,可以讓攻擊者獲取SSL通信中的部分信息明文,如果將明文中的重要部分獲取了,比如cookie,session,則信息的安全出現了隱患。從本質上說,這是SSL設計上的缺陷,SSL先認證再加密是不安全的。而且此漏洞影響絕大多數SSL服務器和客戶端,影響範圍廣泛。但攻擊者如要利用成功,需要能夠控制客戶端和服務器之間的數據(執行中間人攻擊)。簡單來說:Poodle攻擊的原理,就是黑客故意製造安全協議連接失敗的情況,觸發瀏覽器的降級使用 SSL 3.0,然後使用特殊的手段,從 SSL 3.0 覆蓋的安全連接下提取到一定字節長度的隱私信息。
檢測條件:
1.被測網站web服務正常
2.網站採用了SSLV3.0協議。
檢測方法:
可通過在線檢測工具SSL Server Test來進行檢測。
https://www.ssllabs.com/ssltest/
(備註:現階段能力不夠,不會使用)
(備註:這個網站功能很全,極力推薦)
漏洞修復:
建議您手動關閉客戶端SSLv3支持;或者關閉服務器SSLv3支持;或者兩者全部關閉,即可有效防範Poodle漏洞對您造成的影響。常見修復方案如下:目前常用瀏覽器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0協議將影響IE 6客戶的SSL訪問。服務端禁用方法:
- Apache 2.x:在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:SSLProtocol All -SSLv2 -SSLv3,重啓Apache。
- Nginx:在配置文件中使用:ssl_protocols TLSv1 TLSv1.1 TLSv1.2;重啓Nginx
- IIS:查找如下注冊表項:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols該註冊表項通常包含以下子項:* PCT 1.0、 * SSL 2.0、 * SSL 3.0、* TLS 1.0每個註冊表項都保留適用於該項的協議相關信息。可以在服務器上禁用這些協議中的任一種。爲此,請在協議SSL 3.0的服務器子項中創建一個新的DWORD值。將DWORD值設置爲“00 00 00 00”。
- 瀏覽器禁用方法:IE:"工具" -> "Internet 選項" -> "高級" ,取消"使用 SSL 3.0"的複選框。
- Chrome:複製一個平時打開 Chrome 瀏覽器的快捷方式,在新的快捷方式上右鍵點擊,進入屬性,在"目標"後面的空格中字段的末尾輸入以下命令 --ssl-version-min=tls1】
- FireFox:在地址欄輸入"about:config",然後將 security.tls.version.min 調至 1。
要特別注意的是:該漏洞來自於SSLv3本身使用的算法RC4的缺陷,不是實現問題,該漏洞無法修復,只能將SSLv3當作不安全協議禁用,強制使用TLS。也就是說所謂的修復就是關閉SSLv3而已。
其他補充:(來自:https://www.cnblogs.com/foe0/p/11913102.html)
TSL:
HTTP協議傳輸數據的時候,數據是不加密的,不安全的,網景公司針對此,推出了SSL(secure socket layer)安全套接層。SSL3.0時,IETF對其標準化,將其更名爲TLS1.0(transport layer security),安全傳輸層協議。
要想深入瞭解SSL和該漏洞,可以參考一下下面的文章
https://www.jianshu.com/p/ccadb1d67c88
https://www.freebuf.com/news/53959.html
https://github.com/mpgn/poodle-PoC