51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1752|回复: 1
打印 上一主题 下一主题

IBM AppScan 安全扫描:检测到RC4密码套件,服务器支持以下较弱的密码套件

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2019-2-22 10:27:44 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

一问题描述:

IBM Security AppScan Standard给出系统安全报告:


二解决:

下面是JDK对TLS版本的支持情况:



1. weblogic禁用SSLv3算法

编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的版本在其后追加:

  1. -Djava.net.preferIPv4Stack=true -Dweblogic.security.SSL.minimumProtocolVersion=TLS1
复制代码

对于10.3.6.x之前的版本则追加(这两个是有些区别的,上边是限定SSL的最低使用版本,下边是指定SSL的使用版本):

  1. -Dweblogic.security.SSL.protocolVersion=TLS1
复制代码

保存退出,重启weblogic即可


2. weblogic禁用RC4及其他有漏洞的加密套件

关闭sslv3的CBC-based加密算法编辑config.xml文件,如下:

编缉$DOMAIN_HOME/config目录下的config.xml,找到要限制密码套件的server下的ssl标签(比如我这里是myAdm),加入以下内容:

  1. <ciphersuite>TLS_RSA_WITH_RC4_128_SHA</ciphersuite>
  2. <ciphersuite>TLS_RSA_WITH_RC4_128_MD5</ciphersuite>
复制代码

最后一样保存然后重启weblogic即可。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-25 01:07 , Processed in 0.065450 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表