我正在對我們所做的一些滲透測試進行補救。
滲透測試報告由於啟用了 SSv3 而存在 POODLE 漏洞。
但是,在我的 httpd.conf 的 VirtualHost 定義中,我有:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
顯然,我在上面的 SSLProtocol 行中有 -SSLv3,並且我讀到的所有內容都表明,如果我禁用 SSLv3,我將不會受到 POODLE 攻擊。
但我嘗試過 Qualys 線上 SSL 測試器和“ssl-poodle”nmap 腳本,這兩個腳本都告訴我我仍然容易受到攻擊。
幫助?
誰能解釋一下我在這裡錯過了什麼?
謝謝!
更新:這是在 Oracle Linux 7.3 上,使用 Apache/2.4.6
答案1
好吧,我明白了。儘管我的文件中的SSLProtocol每個VirtualHost定義都有正確的語句,但./etc/httpd/conf/httpd.confVirtualHost/etc/httpd/conf.d/ssl.conf
將其添加到 ssl.conf 後,它就開始工作了。