0

我有一个带有 EV 的 SSL 证书,并且我正在按照Eric Martindale 的说明来减轻 BEAST 攻击,但我仍然显示出该攻击的漏洞。

根据 SSL Labs,即使我设置了 HonorCipherOrder,它也只列出了这些密码并忽略了顺序:

密码套件(按强度排序;服务器没有偏好)
TLS_RSA_WITH_RC4_128_SHA (0x5) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256

BEAST 攻击 易受攻击的不安全

这是我的代码:

THE MODULE
module.exports = {
    key: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.key'),
    cert: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.pem'),
    ciphers: 'ECDHE-RSA-AES256-SHA:AES256-SHA:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM',
    honorCipherOrder: true
};

THE SERVER.JS FILE
var sslOptions = require(__dirname + '/app_modules/ssl.js');
https.createServer(sslOptions, app).listen(securePort);

如何防御 BEAST 攻击?似乎命令需要兑现,但事实并非如此。

4

2 回答 2

0

在这里使用了这个解决方案。

https://certsimple.com/blog/a-plus-node-js-ssl

这是用于缓解前向保密问题的密码列表。

[
    "ECDHE-RSA-AES256-SHA384",
    "DHE-RSA-AES256-SHA384",
    "ECDHE-RSA-AES256-SHA256",
    "DHE-RSA-AES256-SHA256",
    "ECDHE-RSA-AES128-SHA256",
    "DHE-RSA-AES128-SHA256",
    "HIGH",
    "!aNULL",
    "!eNULL",
    "!EXPORT",
    "!DES",
    "!RC4",
    "!MD5",
    "!PSK",
    "!SRP",
    "!CAMELLIA"
]
于 2016-03-07T06:36:29.153 回答
-1

正在寻找相同问题的解决方案,发现http://www.ericmartindale.com/2012/07/19/mitigating-the-beast-tls-attack-in-nodejs/

于 2013-06-04T11:41:01.250 回答