CONSULTA tipos de vulnerabilidad web

  • Iniciador del tema Iniciador del tema khrizs
  • Fecha de inicio Fecha de inicio
khrizs

khrizs

Usuario Casual nvl. 2
1 Feb 2012
3.036
38
47
CHILOE
Saludos portaleanos, hoy tengo una consulta , estudiando un poco de seguridad estoy utilizando A2SV para analizar webs propias y estudiar un poco mas. pero no encuentro la informacion que necesito en internet y lo que hay esta en inglés y le pego poco al ingles ( Se que tengo que aprender o voy a estar cagao)

la cosa es que me aparecen las siguiente
Código: 
                              [A2SV REPORT]                            
 [TARGET]: xx.142.xx.xx
 [PORT]: 443
 [SCAN TIME]: 2017-06-14x
 [VULNERABILITY]
Vulnerability    CVE           CVSS v2 Base Score         State        
================ ============= ========================== ===============
Anonymous Cipher CVE-2007-1858 AV:N/AC:H/Au:N/C:P/I:N/A:N Not Vulnerable.
CRIME(SDPY)      CVE-2012-4929 AV:N/AC:H/Au:N/C:P/I:N/A:N Vulnerable!  
HeartBleed       CVE-2014-0160 AV:N/AC:L/Au:N/C:P/I:N/A:N Not Vulnerable.
CCS Injection    CVE-2014-0224 AV:N/AC:M/Au:N/C:P/I:P/A:P Not Vulnerable.
SSLv3 POODLE     CVE-2014-3566 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable.
OpenSSL FREAK    CVE-2015-0204 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable.
OpenSSL LOGJAM   CVE-2015-4000 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable.
SSLv2 DROWN      CVE-2016-0800 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable.
________________________

Lo que me gustaría saber es a que tipo de vulnerabilidad corresponde cada linea y como arreglarla o atacarla para probar su efectividad de daño en mi web.

Eso seria por ahora señores. Saludos
 
khrizs dijo:
Saludos portaleanos, hoy tengo una consulta , estudiando un poco de seguridad estoy utilizando A2SV para analizar webs propias y estudiar un poco mas. pero no encuentro la informacion que necesito en internet y lo que hay esta en inglés y le pego poco al ingles ( Se que tengo que aprender o voy a estar cagao)

la cosa es que me aparecen las siguiente
Código: 
                              [A2SV REPORT]                           
 [TARGET]: xx.142.xx.xx
 [PORT]: 443
 [SCAN TIME]: 2017-06-14x
 [VULNERABILITY]
Vulnerability    CVE           CVSS v2 Base Score         State       
================ ============= ========================== ===============
Anonymous Cipher CVE-2007-1858 AV:N/AC:H/Au:N/C:P/I:N/A:N Not Vulnerable.
CRIME(SDPY)      CVE-2012-4929 AV:N/AC:H/Au:N/C:P/I:N/A:N Vulnerable! 
HeartBleed       CVE-2014-0160 AV:N/AC:L/Au:N/C:P/I:N/A:N Not Vulnerable.
CCS Injection    CVE-2014-0224 AV:N/AC:M/Au:N/C:P/I:P/A:P Not Vulnerable.
SSLv3 POODLE     CVE-2014-3566 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable.
OpenSSL FREAK    CVE-2015-0204 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable.
OpenSSL LOGJAM   CVE-2015-4000 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable.
SSLv2 DROWN      CVE-2016-0800 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable.
________________________

Lo que me gustaría saber es a que tipo de vulnerabilidad corresponde cada linea y como arreglarla o atacarla para probar su efectividad de daño en mi web.

Eso seria por ahora señores. Saludos
Haz clic para expandir...

Como ando con tiempo antes de una reunión te respondo unas de las que sé:

  1. Anonymous Cipher, es un exploit cliente servidor que utiliza una no configuración de SSL en el servidor, la solución es desactivar anon ciphers: ssl-disable-anon-ciphers
  2. CRIME(SDPY), es un exploit que ataca las vulnerabilidades de las cookies en protocolos SSL, la solución simple es deshabilitar la compresión de las solicitudes HTTPS en el servidor.
  3. HeartBleed, es una vulnerabilidad vieja de OpenSSL, si usas openssl 1.0.1, debes hacer upgrade de la versión y recompilar openssl agregando el parametro: DOPENSSL_NO_HEARTBEATS

Bueno, eso.

Saludos,
 
  • Like
Reacciones: fearman22 y ALam.-
Debes iniciar sesión o registrarte para responder aquí.
Arriba Pie
Atrás