360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
警告警告

使用版本较低的SSLv2协议

WASC Threat Classification

发现时间:

2016-08-24

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

其他

所属编程语言:

其他

描述:

目标使用版本较低的SSLv2协议。

SSL(Secure Sockets Layer 安全套接层)是为网络通信提供安全及数据完整性的一种安全协议,由美国 NetScape公司开发,由美国 NetScape公司开发,V2.0版本于19952月发布,但是该版本存在诸多安全漏洞,易被攻击者利用。

SSL协议 V2.0 主要安全漏洞:

(1) 使用同一加密密钥进行消息身份验证和加密。

(2) 弱消息认证代码结构且只支持不安全的MD5哈希函数。

(3) SSL握手过程没有任何防护,容易遭遇中间人攻击。

(4) 使用TCP连接关闭,以指示数据的末尾(没有明确的会话关闭通知)容易遭受截断攻击。

(5) 仅能提供单一服务和绑定固定域名,与Web服务器中的虚拟主机标准功能有冲突,导致许多网站都无法使用SSL


危害:

攻击者可利用已知的SSL 2.0漏洞进行多样化攻击,危害巨大。


解决方案:

立即关闭SSL2.0协议

示例:

Windows Server 2008/2012 - IIS 7/8


如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论