作者dbtsai (阿邦@dbtsai.org)
看板NetSecurity
标题[闲聊] 邮局 web atm SSL 安全性
时间Mon Aug 2 04:02:59 2010
Hello
最近在调查台湾常用金融网站之安全性, 发现邮局网路银行的伺服器接受 weak
cipher, 尤其是 SSLv2 有缺陷, 应该禁用. 详细如以下测试报告.
为了维护众多使用者转帐与线上交易之安全, 我把这个资料寄给邮局网管
结果鸟都不鸟我...XD
root@www:/home/dbtsai# perl ./ssl-cipher-check.pl webatm.post.gov.tw
Testing webatm.post.gov.tw:443
SSLv3:RC4-MD5 - ENABLED - STRONG 128 bits
SSLv3:DES-CBC3-SHA - ENABLED - STRONG 168 bits
SSLv3:RC4-SHA - ENABLED - STRONG 128 bits
** SSLv3:DES-CBC-SHA - ENABLED - WEAK 56 bits **
** SSLv3:EXP-RC4-MD5 - ENABLED - WEAK 40 bits **
** SSLv3:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
SSLv3:AES128-SHA - ENABLED - STRONG 128 bits
SSLv3:AES256-SHA - ENABLED - STRONG 256 bits
** SSLv2:RC4-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:RC2-CBC-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:DES-CBC-MD5 - ENABLED - WEAK 56 bits **
** SSLv2:EXP-RC4-MD5 - ENABLED - WEAK 40 bits ** (这这这,不是给有心人机会吗?)
** SSLv2:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
** SSLv2:DES-CBC3-MD5 - ENABLED - WEAK 168 bits **
*WARNING* 9 WEAK Ciphers Enabled.
Total Ciphers Enabled: 14
--
Tsai, Dong-Bang 蔡东邦
-----------------------------------
Blog:
http://www.dbtsai.com/blog
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.6.28.137
1F:→ kobala:因为修改上的不方便吧 反正出包了再搓圆就好... 08/02 11:01
2F:推 spore:这年头好像要找民代或周刊爆料别人才会鸟你 08/03 02:48
3F:推 luciferii:金融单位是因为有神秘的客户需要,所以非保留此支援 08/03 22:20
4F:→ luciferii:某些单位被这些客户抗议过 08/03 22:20
5F:→ luvin:客户端可以强制关 SSLv2 08/05 01:03
6F:推 luciferii:神秘的客户需要 => 客户端不能关 SSLv2 08/05 04:56
7F:推 luvin:楼上你是指伺服器端吧 = = IE7 FF2 以上都预设已关闭了 08/07 13:56
8F:推 luciferii:当然是指client端,伺服器端是金融单位在负责的 08/08 01:57
9F:→ luciferii:注意client端不有只有浏览器,也不是每个client都一定装 08/08 01:58
10F:→ luciferii:近代的的OS和浏览器.... 08/08 01:58
11F:→ luvin:所以保留啊 = = 对近代OS 跟浏览器又没影响 08/08 02:09