浅谈OpenSSL的Heartbleed漏洞
2014-04-14 13:35
260 查看
近几日关于OpenSSL存在的重大漏洞Heartbleed的报道是不绝与耳。对于从事网络安全的攻城狮们来讲,这可谓是行业里的大地震。可能对于一般人来讲并没有多大的感觉,但是它所造成的潜在影响可是实实在在的。下面我好奇的研究了下这个“风靡全球”的漏洞是怎么回事,以及个人如何防范。(详细介绍请登录http://heartbleed.com/ )
OpenSSL是什么?
要说OpenSSL,还得先说SSL。SSL是一种网络安全协议,用于数据加密,使得用户通过互联网与服务器之间的数据传输不被监听截取。简单地甄别方式就是https://开头的网站就是采用SSL协议的(等等,我怎么记得好像大多数银行,网购网站,社交网站,email等等都用的这个?!没错,基本上所有主流网站都用SSL加密)。
OpenSSL是一个基于SSL和TLS的开源的库(搞编程的更容易理解,非专业人员可暂时理解为软件之类的),用它可实现一些密码算法和证书封装等功能。总的来讲,它是一个开源的、跨平台、多用途的安全工具。
Heartbleed
漏洞是什么?
在网上看到一则漫画,很有意思,生动的讲解了Heartbleed漏洞(来自xkcd这个技术网站)
如果你还没明白的话,我来再多嘴两句。在上网的时候用户电脑和服务器之间有个链接的存活检验机制,称之为heartbeat(心跳检测),通俗讲就是看看服务器是不是正常在干活。用户向服务器发送Hello询问时会附加一个要求是回复的“字符长度”,这个漏洞就在于,如果指定的“字符长度”大于了实际发送字符的长度,服务器就还是会回馈给你相同规模的数据。这个多余出来的数据从哪里来呢,就是服务器的内存了,有很大几率包含着用户名和密码。这就使得黑客可以越界访问HTTPS服务器内存里的信息。
个人如何防范?
1. 避免个人对这个漏洞理解的误区
这个漏洞本身并不是SSL设计的漏洞,是一个OpenSSL执行时漏洞,网站们只需打上“补丁”即可修复。所以并不是一个天大的麻烦,现在基本各大社交网站等已全部更新。再者也并不是你输入了密码就一定会被截取。正确态度就是,关注并采取适当措施。
2. 登录网站时做好检查
以下提供两个在线漏洞检测网站,登录前先检测
http://filippo.io/Heartbleed/ http://wangzhan.360.cn/heartbleed
3. 对于已经修复过的网站,如果已经注册,可以修改下密码
==========
现在互联网这么发达,网络安全便显得越来越重要,大家可以适当的关注下,毕竟和个人的隐私以及财产安全有着千丝万缕的联系.
OpenSSL是什么?
要说OpenSSL,还得先说SSL。SSL是一种网络安全协议,用于数据加密,使得用户通过互联网与服务器之间的数据传输不被监听截取。简单地甄别方式就是https://开头的网站就是采用SSL协议的(等等,我怎么记得好像大多数银行,网购网站,社交网站,email等等都用的这个?!没错,基本上所有主流网站都用SSL加密)。
OpenSSL是一个基于SSL和TLS的开源的库(搞编程的更容易理解,非专业人员可暂时理解为软件之类的),用它可实现一些密码算法和证书封装等功能。总的来讲,它是一个开源的、跨平台、多用途的安全工具。
Heartbleed
漏洞是什么?
在网上看到一则漫画,很有意思,生动的讲解了Heartbleed漏洞(来自xkcd这个技术网站)
如果你还没明白的话,我来再多嘴两句。在上网的时候用户电脑和服务器之间有个链接的存活检验机制,称之为heartbeat(心跳检测),通俗讲就是看看服务器是不是正常在干活。用户向服务器发送Hello询问时会附加一个要求是回复的“字符长度”,这个漏洞就在于,如果指定的“字符长度”大于了实际发送字符的长度,服务器就还是会回馈给你相同规模的数据。这个多余出来的数据从哪里来呢,就是服务器的内存了,有很大几率包含着用户名和密码。这就使得黑客可以越界访问HTTPS服务器内存里的信息。
个人如何防范?
1. 避免个人对这个漏洞理解的误区
这个漏洞本身并不是SSL设计的漏洞,是一个OpenSSL执行时漏洞,网站们只需打上“补丁”即可修复。所以并不是一个天大的麻烦,现在基本各大社交网站等已全部更新。再者也并不是你输入了密码就一定会被截取。正确态度就是,关注并采取适当措施。
2. 登录网站时做好检查
以下提供两个在线漏洞检测网站,登录前先检测
http://filippo.io/Heartbleed/ http://wangzhan.360.cn/heartbleed
3. 对于已经修复过的网站,如果已经注册,可以修改下密码
==========
现在互联网这么发达,网络安全便显得越来越重要,大家可以适当的关注下,毕竟和个人的隐私以及财产安全有着千丝万缕的联系.
相关文章推荐
- OpenSSL“Heartbleed”的漏洞exp
- 这次OpenSSL HeartBleed漏洞是怎么一回事呢?
- OpenSSL “Heartbleed”心脏流血漏洞升级方法
- 【OpenSSL】heartbleed漏洞源码分析
- 新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待
- 记服务器升级openssl-1.0.1g之安全漏洞Heartbleed
- #openssl #爆重大漏洞heartbleed,危及两亿网民!!!
- Heartbleed Bug:OpenSSL被曝严重安全漏洞
- Heartbleed第三篇:关于OpenSSL“心脏出血”漏洞的分析
- SSL,TLS协议与OpenSSL "心血"heartbleed漏洞之伤
- OpenSSL 的 Heartbleed 漏洞代码探究
- SSL,TLS协议与OpenSSL "心血"heartbleed漏洞之伤
- OpenSSL "heartbleed" 的安全漏洞
- 升级你的OpenSSL吧 (“heartbleed”漏洞修复方案)
- OpenSSL的Heartbleed漏洞原理及简单模拟
- OpenSSl HeartBleed 漏洞分析及验证
- OpenSSL爆出本年度最严重的安全漏洞heartbleed,微信第三方开发平台应第一时间升级OpenSSL
- OpenSSL重大漏洞-Heartbleed之漏洞利用脚本POC讲解