一:漏洞名称:
POODLE信息泄露漏洞
描述:
POODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。而且此漏洞影响绝大多数SSL服务器和客户端,影响范围广泛。但攻击者如要利用成功,需要能够控制客户端和服务器之间的数据(执行中间人攻击)。简单来说:Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用 SSL 3.0,然后使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。
检测条件:
1.被测网站web服务正常
2.网站采用了SSLV3.0协议。
检测方法:
可通过在线检测工具SSL Server Test来进行检测。
https://www.ssllabs.com/ssltest/
(备注:现阶段能力不够,不会使用)
(备注:这个网站功能很全,极力推荐)
漏洞修复:
建议您手动关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭,即可有效防范Poodle漏洞对您造成的影响。常见修复方案如下:目前常用浏览器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0协议将影响IE 6客户的SSL访问。服务端禁用方法:
- Apache 2.x:在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:SSLProtocol All -SSLv2 -SSLv3,重启Apache。
- Nginx:在配置文件中使用:ssl_protocols TLSv1 TLSv1.1 TLSv1.2;重启Nginx
- IIS:查找如下注册表项:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols该注册表项通常包含以下子项:* PCT 1.0、 * SSL 2.0、 * SSL 3.0、* TLS 1.0每个注册表项都保留适用于该项的协议相关信息。可以在服务器上禁用这些协议中的任一种。为此,请在协议SSL 3.0的服务器子项中创建一个新的DWORD值。将DWORD值设置为“00 00 00 00”。
- 浏览器禁用方法:IE:"工具" -> "Internet 选项" -> "高级" ,取消"使用 SSL 3.0"的复选框。
- Chrome:复制一个平时打开 Chrome 浏览器的快捷方式,在新的快捷方式上右键点击,进入属性,在"目标"后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1】
- FireFox:在地址栏输入"about:config",然后将 security.tls.version.min 调至 1。
要特别注意的是:该漏洞来自于SSLv3本身使用的算法RC4的缺陷,不是实现问题,该漏洞无法修复,只能将SSLv3当作不安全协议禁用,强制使用TLS。也就是说所谓的修复就是关闭SSLv3而已。
其他补充:(来自:https://www.cnblogs.com/foe0/p/11913102.html)
TSL:
HTTP协议传输数据的时候,数据是不加密的,不安全的,网景公司针对此,推出了SSL(secure socket layer)安全套接层。SSL3.0时,IETF对其标准化,将其更名为TLS1.0(transport layer security),安全传输层协议。
要想深入了解SSL和该漏洞,可以参考一下下面的文章
https://www.jianshu.com/p/ccadb1d67c88
https://www.freebuf.com/news/53959.html
https://github.com/mpgn/poodle-PoC