如何测试FREAK攻击（CVE-2015-0204）并进行修复？

你的网站是否免受FREAK Attack的影响？

网络安全是当前热门话题。安全专家总是忙于处理各种问题，而漏洞的命名也有一点吸引人，比如Heart Bleed、Poodle，现在还有Freak Attack。

在本指南中，我将解释如何确定您的网站是否受到影响以及修复这些漏洞的步骤。

介绍

如果您对Freak Attack感兴趣或不了解此漏洞，请听我解释。在巴黎的INRIA发现了FREAK攻击漏洞。

于2015年3月3日宣布了一个新的SSL/TLS vulnerability，该漏洞允许攻击者窃取易受攻击的客户端和服务器之间的HTTPS连接，并迫使它们使用弱加密。这将帮助攻击者窃取或篡改敏感数据。

检查您的服务器是否易受攻击

如果您的Web服务器接受RSA_EXPORT密码套件，则存在风险。您可以在以下链接处对您的HTTPS URL进行检查。

• https://www.ssllabs.com/ssltest/
• https://yaoweibin.cn/tools/tls-scanner
• https://tools.keycdn.com/freak

修复FREAK Attack安全漏洞

Apache HTTP服务器 – 您可以通过在您的httpd.conf或SSL配置文件中添加以下内容来禁用EXPORT密码套件。

SSLCipherSuite !EXPORT

您的配置文件中可能已经有了一个SSLCipherSuite行。如果是这样，您只需在行末添加!EXPORT。

如果您对配置文件尚不熟悉，可以阅读我的Apache Web Server Security & Hardening Guide。

Nginx – 在您的配置文件中添加以下内容。

ssl_ciphers '!EXPORT';

此外，您还可以使用SSL Configuration Generator或Mozilla Recommended Configuration来保护SSL/TLS漏洞。

作为网站所有者或安全工程师，您应定期对您的网站进行安全扫描，以查找任何new vulnerabilities and get notified。

您可能还有兴趣解决Logjam attack。