【发布时间】:2020-09-14 19:03:37
【问题描述】:
我有一个包含两个漏洞的安全测试(aes+camellia no aead -> 不提供,logjam -> VULNERABLE)
安全测试是在一个 Spring Boot 应用程序上进行的,我的配置文件中有以下配置:
server:
ssl:
ciphers: EECDH+CHACHA20,EECDH+AESGCM,EECDH+AES+SHA384,EECDH+AES+SHA256,EECDH+AES,EDH+AES256,!EDH+AESGCM,!EDH+SHA256,HIGH,!aNULL,!eNULL,!EXPORT,!DES,!MD5,!PSK,!RC4,!ECDHE-RSA-AES256-GCM-SHA384,!SHA1,!SHA256,!SHA384
我删除了 CBC 算法,因为 CBC 算法像漏洞一样被报告给我。
在测试中也显示了logjam漏洞,但我遵循教程:
https://geekflare.com/test-logjam-attack-cve-2015-4000-and-fix/
我将 !EXPORT 包含在我的密码套件中
我不知道解决 logjam 需要什么(因为在所有页面中我发现相同的响应和 AES Camelia,因为我删除了 CBC 算法,因为其他漏洞)。
【问题讨论】:
标签: spring-boot security cryptography