我已使用 Netsparker 扫描了 Web 应用程序。尽管该站点不支持 https,但 Netsparker 检测到启用了弱密码。我知道 Netsparker 说扫描仪不会出现误报;但是即使网站上没有进行加密,是否可以启用弱密码?
3.编辑SSL密码套件顺序:
在 SSL 设置窗口中, 单击右侧“操作”窗格中的“编辑”。
4.配置密码套件:
在“编辑 SSL 密码套件顺序”对话框中,您将 请参阅密码套件列表。删除任何弱或过时的密码 诸如“DES”、“RC4”或“MD5”之类的套件。优先考虑强密码 类似使用 AES 或 SHA 加密的套件。选择并删除 单击密码套件,然后单击“删除” 按钮。
5.保存更改:
6.重新启动IIS
7.测试配置:之后 重新启动 IIS,测试应用程序以确保 SSL/TLS 连接在更新后仍可正常运行 密码套件配置。