Nginx SSL漏洞扫描和修复 —— 筑梦之路

1.扫描

nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com

nmap --script="ssl-enum-ciphers" -sS -Pn -p 443  www.baidu.com

sslscan  www.baidu.com

git clone --depth 1 --branch 2.9.5 https://github.com/drwetter/testssl.sh.git

./testssl.sh --quiet www.baidu.com

./testssl.sh -c --quiet --html www.baiud.com

./testssl.sh -c --quiet --log www.baidu.com

./testssl.sh --quiet -U www.baidu.com

参数说明：

-b，-v：这2个是显示版本的testssl自身的信息
-V：输出现有的本机密码套件列表
-t（--startssl）：指明要测试的协议：
https ，ftp，smtp，pop3，imap，xmpp，telnet，ldap，postgres，mysql，
其中 telnet，ldap，postgres ，mysql 这4个协议要指定openssl
--mode < serial| parallel> 模式，默认是串行模式，若多核CPU大规模测试可选并行
--parallel：选项启用并行测试 （默认是串行），等同于 --mode parallel
-e：测试每个密码套件
-E：测试每个协议（SSL2 SSL3 TLS1 TLS1.1 TLS1.2
）
-s (--std)：测试加密强度很高的一些密码套件
-p（--protocols ) ：测试每个TLS与SSL协议 并且检测 spdy 与 http2
-S：测试并显示服务器端证书信息
-P：测试并显示服务器偏好（也就是服务器优先配置的TLS协议和密码套件）
-x（ --single-cipher <pattern> ）： 指定一个密码套件，也就是测试一下是否支持指定的这个套件
-c：测试客户端支持情况
-h （--header）：测试是否支持 HSTS, HPKP， cookie ，ipv4 ，代理 ，安全头部等
-U：测试所有的漏洞

所有漏洞
-H, --heartbleed：tests for Heartbleed vulnerability
-I, --ccs, --ccs-injection：tests for CCS injection vulnerability
-T, --ticketbleed：tests for Ticketbleed vulnerability in BigIP loadbalancers
-R, --renegotiation：tests for renegotiation vulnerabilities
-C, --compression, --crime：tests for CRIME vulnerability (TLS compression issue)
-B, --breach：tests for BREACH vulnerability (HTTP compression issue)
-O, --poodle：tests for POODLE (SSL) vulnerability
-Z, --tls-fallback：checks TLS_FALLBACK_SCSV mitigation
-W, --sweet32：tests 64 bit block ciphers (3DES, RC2 and IDEA): SWEET32 vulnerability
-A, --beast：tests for BEAST vulnerability
-L, --lucky13：tests for LUCKY13
-F, --freak：tests for FREAK vulnerability
-J, --logjam：tests for LOGJAM vulnerability
-D, --drown：tests for DROWN vulnerability
-f, --pfs, --fs, --nsa：checks (perfect) forward secrecy settings
-4, --rc4, --appelbaum：which RC4 ciphers are being offered?

-6：支持ipv6
--ip [one]： 直接测试ip所指向的地址，不使用DNS解析出来的ip地址； 参数one 是指使用NDS解析返回的第一个IP地址，因为很多站点会有多个IP，那么会重复测试多次。
-n (--nodns) ：不使用DNS
--sneaky：在服务器端少留痕迹
--quiet：不输出banner
--fast：只显示第一个密码套件 与-P 合用
--log：输出文档（有默认名称）
--logfile：指定一个输出文档
--json：json格式的文档 （有默认名称）
--jsonfile：指定一个json格式文档
--csv：csv格式的文档 （有默认名称）
--csvfile：指定一个csv 格式文档
--html：html 格式文档 （有默认名）
--htmlfile：指定一个html文档
--append：允许追加

2.nginx ssl配置

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;