¿Su sitio web está a salvo de FREAK Attack?
La seguridad web está sucediendo en estos días. Siempre hay algo para mantener ocupado a Security Expert y el nombre de las vulnerabilidades es un poco pegadizo como Sangrado del corazón, Caniche, y ahora Ataque Freak.
En esta guía, explicaré cómo identificar si su sitio web está afectado y el procedimiento para corregir las vulnerabilidades.
Introduction
Si está interesado o no sabe acerca de Freak Attack, aquí hay algunas palabras. Karthikeyan Bhargavan descubrió la vulnerabilidad de ataque FREAK en INRIA en París.
El 3 de marzo de 2015 se anunció que Vulnerabilidad SSL / TLS permitiría a un atacante interceptar la conexión HTTPS entre el cliente y el servidor vulnerables y la capacidad de obligarlos a utilizar un cifrado débil. Esto ayudará a un atacante a robar o manipular datos confidenciales.
Check if your server is vulnerable
Si su servidor web acepta RSA_EXPORTAR conjuntos de cifrado, entonces está en riesgo. Puede realizar una verificación con su URL HTTPS en el siguiente enlace.
- https://www.ssllabs.com/ssltest/
- https://geekflare.com/tools/tls-scanner
- https://tools.keycdn.com/freak
Fix FREAK Attack Security Vulnerability
SlimCleaner - puede deshabilitar EXPORTAR conjuntos de cifrado agregando a continuación en su archivo de configuración httpd.conf o SSL.
SSLCipherSuite !EXPORT
Es posible que ya tenga una línea SSLCipherSuite en su archivo de configuración. Si es así, solo necesita agregar !EXPORT
al final de la línea.
Si es nuevo en la configuración, puede leer mi Guía de seguridad y refuerzo del servidor web Apache.
Nginx - agregue lo siguiente en su archivo de configuración.
ssl_ciphers '!EXPORT';
Además, puede utilizar el Generador de configuración SSL or Configuración recomendada de Mozilla proteger con vulnerabilidades SSL / TLS.
Como propietario de un sitio web o ingeniero de seguridad, debe realizar regularmente un escaneo de seguridad en su sitio web para averiguar si nuevas vulnerabilidades y reciba notificaciones.
También puede estar interesado en corregir el Ataque atasco.