作者dbtsai (阿邦@dbtsai.org)
看板NetSecurity
標題[閒聊] 郵局 web atm SSL 安全性
時間Mon Aug 2 04:02:59 2010
Hello
最近在調查台灣常用金融網站之安全性, 發現郵局網路銀行的伺服器接受 weak
cipher, 尤其是 SSLv2 有缺陷, 應該禁用. 詳細如以下測試報告.
為了維護眾多使用者轉帳與線上交易之安全, 我把這個資料寄給郵局網管
結果鳥都不鳥我...XD
root@www:/home/dbtsai# perl ./ssl-cipher-check.pl webatm.post.gov.tw
Testing webatm.post.gov.tw:443
SSLv3:RC4-MD5 - ENABLED - STRONG 128 bits
SSLv3:DES-CBC3-SHA - ENABLED - STRONG 168 bits
SSLv3:RC4-SHA - ENABLED - STRONG 128 bits
** SSLv3:DES-CBC-SHA - ENABLED - WEAK 56 bits **
** SSLv3:EXP-RC4-MD5 - ENABLED - WEAK 40 bits **
** SSLv3:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
SSLv3:AES128-SHA - ENABLED - STRONG 128 bits
SSLv3:AES256-SHA - ENABLED - STRONG 256 bits
** SSLv2:RC4-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:RC2-CBC-MD5 - ENABLED - WEAK 128 bits **
** SSLv2:DES-CBC-MD5 - ENABLED - WEAK 56 bits **
** SSLv2:EXP-RC4-MD5 - ENABLED - WEAK 40 bits ** (這這這,不是給有心人機會嗎?)
** SSLv2:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits **
** SSLv2:DES-CBC3-MD5 - ENABLED - WEAK 168 bits **
*WARNING* 9 WEAK Ciphers Enabled.
Total Ciphers Enabled: 14
--
Tsai, Dong-Bang 蔡東邦
-----------------------------------
Blog:
http://www.dbtsai.com/blog
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.6.28.137
1F:→ kobala:因為修改上的不方便吧 反正出包了再搓圓就好... 08/02 11:01
2F:推 spore:這年頭好像要找民代或週刊爆料別人才會鳥你 08/03 02:48
3F:推 luciferii:金融單位是因為有神秘的客戶需要,所以非保留此支援 08/03 22:20
4F:→ luciferii:某些單位被這些客戶抗議過 08/03 22:20
5F:→ luvin:客戶端可以強制關 SSLv2 08/05 01:03
6F:推 luciferii:神秘的客戶需要 => 客戶端不能關 SSLv2 08/05 04:56
7F:推 luvin:樓上你是指伺服器端吧 = = IE7 FF2 以上都預設已關閉了 08/07 13:56
8F:推 luciferii:當然是指client端,伺服器端是金融單位在負責的 08/08 01:57
9F:→ luciferii:注意client端不有只有瀏覽器,也不是每個client都一定裝 08/08 01:58
10F:→ luciferii:近代的的OS和瀏覽器.... 08/08 01:58
11F:→ luvin:所以保留啊 = = 對近代OS 跟瀏覽器又沒影響 08/08 02:09