Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad y Gestión de pruebas  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Cómo probar el ataque FREAK (CVE-2015-0204) y solucionarlo?

Por
joomla security extension

¿Su sitio web está a salvo del ataque FREAK?

La Seguridad Web es un tema de actualidad estos días. Siempre hay algo que mantiene ocupados a los expertos en seguridad y el nombre de las vulnerabilidades es un poco pegadizo como Heart Bleed, Poodle, y ahora Freak Attack .

En esta guía, le explicaré cómo identificar si su sitio web está afectado y el procedimiento para solucionar las vulnerabilidades.

Introducción

Si usted está interesado o no sabe sobre Freak Attack entonces aquí están algunas palabras. Karthikeyan Bhargavan descubrió la vulnerabilidad del ataque FREAK en el INRIA de París.

Se anunció el 3 de marzo de 2015 que la nueva vulnerabilidad SSL/TLS permitiría a un atacante interceptar la conexión HTTPS entre el cliente vulnerable y el servidor y la capacidad de obligarlos a utilizar un cifrado débil. Esto ayudaría a un atacante a robar o manipular datos sensibles.

Compruebe si su servidor es vulnerable

Si su servidor web acepta suites de cifrado RSA_EXPORT, entonces está en peligro. Puede realizar una comprobación de su URL HTTPS en el siguiente enlace

Solucionar la vulnerabilidad de seguridad del ataque FREAK

Servidor HTTP Apache – puede desactivar las suites de cifrado EXPORT añadiendo lo siguiente en su httpd.conf o archivo de configuración SSL

SSLCipherSuite !EXP

ORT
Puede que ya tenga una línea SSLCipherSuite en su fichero de configuración. Si es así, sólo tiene que añadir ! EXPORT al final de la línea

Si es nuevo en la configuración, puede leer mi guía Apache Web Server Security & Hardening Guide

Nginx – añada lo siguiente en su archivo de configuración

ssl_ciphers '!EXPORT'

Además, puede utilizar el Generador de configuraciones SSL o la Configuración recomendada por Mozilla para protegerse de las vulnerabilidades SSL/TLS

Como propietario de un sitio web o ingeniero de seguridad, debería realizar regularmente un análisis de seguridad de su sitio web para detectar cualquier nueva vulnerabilidad y recibir una notificación

Puede que también le interese solucionar el ataque Logjam.

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder