Як протестувати FREAK Attack (CVE-2015-0204) і Fix?

Чи захищений ваш веб-сайт від атак FREAK?

Сьогодні тема веб-безпеки актуальна. Завжди є чим зайняти експерта з безпеки, а назви вразливостей дещо помітні, як-от Heart Bleed, Poodle, а тепер і Freak Attack.

У цьому посібнику я поясню, як визначити, чи ваш веб-сайт уражений, і процедуру усунення вразливостей.

вступ

Якщо ви зацікавлені або не знаєте про Freak Attack, то ось кілька слів. Картікеян Бхаргаван виявив уразливість до атаки FREAK в INRIA в Парижі.

  Як захистити зашифровані BitLocker файли від зловмисників

3 березня 2015 року було оголошено, що нова вразливість SSL/TLS дозволить зловмиснику перехопити з’єднання HTTPS між уразливим клієнтом і сервером і змусити їх використовувати слабке шифрування. Це допоможе зловмиснику викрасти або маніпулювати конфіденційними даними.

Перевірте, чи ваш сервер уразливий

Якщо ваш веб-сервер приймає набори шифрів RSA_EXPORT, ви ризикуєте. Перевірити свою URL-адресу HTTPS можна за цим посиланням.

Виправлення вразливості системи FREAK Attack

HTTP-сервер Apache – ви можете вимкнути набори шифрів EXPORT, додавши нижче у свій файл конфігурації httpd.conf або SSL.

SSLCipherSuite !EXPORT

Можливо, у вашому файлі конфігурації вже є рядок SSLCipherSuite. Якщо так, вам просто потрібно додати !EXPORT у кінці рядка.

  Як заробити гроші через Google Task Mate

Якщо ви новачок у конфігурації, ви можете прочитати мій посібник з безпеки та посилення веб-сервера Apache.

Nginx – додайте наступне у свій файл конфігурації.

ssl_ciphers '!EXPORT';

Крім того, ви можете використовувати Генератор конфігурації SSL або Рекомендована конфігурація Mozilla для захисту за допомогою вразливостей SSL/TLS.

Як власник веб-сайту або інженер із безпеки, ви повинні регулярно виконувати перевірку безпеки свого веб-сайту, щоб виявити нові вразливості та отримувати сповіщення.

Ви також можете бути зацікавлені у виправленні атаки Logjam.

Вам сподобалось читати статтю? Як щодо того, щоб поділитися зі світом?