詳細描述

SSL/TLS協議是一個被廣泛使用的加密協議,Bar Mitzvah攻擊實際上是利用了"不變性漏洞"，這是RC4算法中的一個缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數據和其他敏感信息泄露給黑客。

復現方法

nmap -p 443 --script=ssl-enum-ciphers TARGET

解決方法

臨時解決方法：

服務器端（SSL/TLS）
--------
1、禁止apache服務器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務
2、關于nginx加密算法
1.0.5及以后版本，默認SSL密碼算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本，默認SSL密碼算法是HIGH:!ADH:!MD5
0.8.19版本，默認SSL密碼算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本，默認SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或沒注釋的可以直接修改域名下ssl相關配置為
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
需要nginx重新加載服務

3、關于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

重啟lighttpd 服務。

4、tomcat參考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

5、Windows參考：

https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

詳細操作可參考http://www.rzrgm.cn/tsimfeiwan/p/16567279.html 博客中的第三條

客戶端（瀏覽器）
6、瀏覽器手工屏蔽方案
Windows 用戶：
1）完全關閉 Chrome 瀏覽器和Mozilla Firefox瀏覽器
2）復制一個平時打開 Chrome 瀏覽器(Mozilla Firefox瀏覽器)的快捷方式
3）在新的快捷方式上右鍵點擊，進入屬性
4）在「目標」后面的空格中字段的末尾輸入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Mac OS X 用戶：
1）完全關閉 Chrome 瀏覽器
2）找到本機自帶的終端（Terminal）
3）輸入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Linux 用戶：
1）完全關閉 Chrome 瀏覽器
2）在終端中輸入以下命令：google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

如果掃描器跟目標機之間存在WAF，請優先檢查WAF配置。