Nodejs - Expressjs SSL(HTTPS)BEAST攻击---节点不遵守命令

时间:2013-05-23 06:24:30

标签: node.js ssl express

我有EV证书的SSL证书,我正在关注Eric Martindale's instructions以减轻BEAST攻击,但我仍然表现出攻击的漏洞。

根据SSL实验室,它只列出了这些密码和IGNORES订单,即使我设置了honorCipherOrder:

密码套房(按强度排序;服务器没有偏好)
TLS_RSA_WITH_RC4_128_SHA(0x5)128
TLS_RSA_WITH_AES_128_CBC_SHA(0x2f)128
TLS_RSA_WITH_AES_256_CBC_SHA(0x35)256

BEAST攻击易受攻击的INSECURE

这是我的代码:

THE MODULE
module.exports = {
    key: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.key'),
    cert: fs.readFileSync(__dirname + '/../vault/ssl/' + serverInfo.serverType + '.pem'),
    ciphers: 'ECDHE-RSA-AES256-SHA:AES256-SHA:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM',
    honorCipherOrder: true
};

THE SERVER.JS FILE
var sslOptions = require(__dirname + '/app_modules/ssl.js');
https.createServer(sslOptions, app).listen(securePort);

如何防范BEAST攻击?似乎订单需要得到尊重,但事实并非如此。

2 个答案:

答案 0 :(得分:0)

在这里使用此解决方案。

https://certsimple.com/blog/a-plus-node-js-ssl

这是用于缓解前向保密问题的密码列表。

NSArray

答案 1 :(得分:-1)

正在寻找同一问题的解决方案,并找到http://www.ericmartindale.com/2012/07/19/mitigating-the-beast-tls-attack-in-nodejs/

相关问题
最新问题