Saludos portaleanos, hoy tengo una consulta , estudiando un poco de seguridad estoy utilizando A2SV para analizar webs propias y estudiar un poco mas. pero no encuentro la informacion que necesito en internet y lo que hay esta en inglés y le pego poco al ingles ( Se que tengo que aprender o voy a estar cagao) la cosa es que me aparecen las siguiente Code: [A2SV REPORT] [TARGET]: xx.142.xx.xx [PORT]: 443 [SCAN TIME]: 2017-06-14x [VULNERABILITY] Vulnerability CVE CVSS v2 Base Score State ================ ============= ========================== =============== Anonymous Cipher CVE-2007-1858 AV:N/AC:H/Au:N/C:P/I:N/A:N Not Vulnerable. CRIME(SDPY) CVE-2012-4929 AV:N/AC:H/Au:N/C:P/I:N/A:N Vulnerable! HeartBleed CVE-2014-0160 AV:N/AC:L/Au:N/C:P/I:N/A:N Not Vulnerable. CCS Injection CVE-2014-0224 AV:N/AC:M/Au:N/C:P/I:P/A:P Not Vulnerable. SSLv3 POODLE CVE-2014-3566 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable. OpenSSL FREAK CVE-2015-0204 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable. OpenSSL LOGJAM CVE-2015-4000 AV:N/AC:M/Au:N/C:N/I:P/A:N Not Vulnerable. SSLv2 DROWN CVE-2016-0800 AV:N/AC:M/Au:N/C:P/I:N/A:N Not Vulnerable. ________________________ Lo que me gustaría saber es a que tipo de vulnerabilidad corresponde cada linea y como arreglarla o atacarla para probar su efectividad de daño en mi web. Eso seria por ahora señores. Saludos
Como ando con tiempo antes de una reunión te respondo unas de las que sé: Anonymous Cipher, es un exploit cliente servidor que utiliza una no configuración de SSL en el servidor, la solución es desactivar anon ciphers: ssl-disable-anon-ciphers CRIME(SDPY), es un exploit que ataca las vulnerabilidades de las cookies en protocolos SSL, la solución simple es deshabilitar la compresión de las solicitudes HTTPS en el servidor. HeartBleed, es una vulnerabilidad vieja de OpenSSL, si usas openssl 1.0.1, debes hacer upgrade de la versión y recompilar openssl agregando el parametro: DOPENSSL_NO_HEARTBEATS Bueno, eso. Saludos,
