记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从心脏出血到量子安全,OpenSSL到底是怎样的存在?

“心脏出血”引起的轩然大波很多人仍对2014年4月7日爆发的心脏出血(Heartbleed)漏洞记忆犹新。一夜之间,全球三分之二的服务器岌岌可危,一个声名不显的团队——OpenSSL让无数的管理员夜不能寐。在SSL(安全套接层协议)领域,OpenSSL是当之无愧的无冕之王,该团队的“大管家”Steve Marquess在最近的中国行中提出了一个比喻,可以很好地解释他们的工作:你可以把网络想像成电路,信息就是电流,OpenSSL则像是电线绝缘层,确保电流能安全传输而非四处泄露。但是,问题在于,用户接触的只是最外层的“电源接口”,因此“OpenSSL对于终端的用户是隐形的、看不到的。”Steve曾这样描述这种现状:“成百上千的厂商使用它,每台智能手机使用它。每个人都用得理所当然。但是除了我们最忠实的用户社区,我们几
发布时间:2017-10-07 08:10 | 阅读:119113 | 评论:0 | 标签:牛闻牛评 OpenSSL 心脏出血

小错误引发大危机——心脏出血到底是什么?

心脏出血漏洞可以追根溯源到开源代码库OpenSSL里的一行代码上。本文将告诉你心脏出血的工作原理、利用状况以及怎样修复未打补丁的服务器。2014年4月,心脏出血漏洞进入了公众视野,该漏洞为攻击者提供了前所未有的敏感信息获取途径,并且成千上万的网络服务器上存在心脏出血漏洞,就连雅虎这样的网络巨头也在此列。开源代码库OpenSSL中的一个漏洞是引发心脏出血的罪魁祸首,该漏洞使用了传输层安全协议(TLS)和加密套接字协议层(SSL)协议。通过这个漏洞,简而言之,恶意用户可以很容易地诱骗一个脆弱的网络服务器发送用户名和密码等敏感信息。心脏出血漏洞的工作原理要了解心脏出血(CVE-2014-0160)的工作原理,你必须对TLS/SSL协议的运作模式和内存存储信息的方式有些许的认识。TLS / SSL协议的一个重要组成部分
发布时间:2017-09-28 03:40 | 阅读:102034 | 评论:0 | 标签:牛闻牛评 OpenSSL 安全漏洞 心脏出血

OpenSSL的过去、现在和未来

极少有什么事物在其发展历程中有确定的转折点——那种唯一的日子,人们可以明确指出并感叹:“这就是所有的一切都改变了的那天!”作者:迈克尔·米莫索,前TechTarget安全频道主编译者:nana对OpenSSL而言,那一天是2014年4月7日,“心脏滴血”进入安全词典的日子。心脏滴血是历史悠久的加密库中的一个高危漏洞。OpenSSL应用广泛,成千上万的商业和自用软件项目都有应用。心脏滴血的爆出意味着,这个全互联网范围的漏洞能泄露足够的内存供黑客挖掘出从登录凭证到加密密钥的任何东西。对全世界的服务器管理员来说那是非常糟糕的一天,对维护OpenSSL的小团队而言那同样是地狱般的一天。就像现实世界中的自然灾害,人们总是要到一场地震或是一阵飓风撕裂整座城镇才会意识到一直以来平和的生活是建立在多么脆弱的基础之上。这种情况显
发布时间:2015-05-14 23:45 | 阅读:99658 | 评论:0 | 标签:动态 OpenSSL 开源软件 心脏出血

钟馗之眼:心脏出血一周年 国内还有超1万IP未修复

国内知名安全研究团队钟馗之眼(ZoomEye)于本周二发布心脏出血漏洞一周年全球普查报告,报告显示目前国内还有10,682个IP受心脏出血漏洞的影响。通过对漏洞公布一周年前后的新旧数据对比分析,报告总结出5个主要结论:1. 全球修复效率较高,一年的时间,全球受影响IP数量仅为爆发时的 14.6% ;2. 协议依赖性明显,受影响 IP 中, HTTPS(443)两次占比都超过 50% ;3. 西方发达国家修复效率高于发展中国家,从前后两次“受影响国家/地区 TOP25 ”来看,由于西方发达国家 IP 资源比较丰富(如美国 IP 地址就占全球近 1/3 ),所以 14 年统计的 TOP25 ,较多来自西方发达国家;而经过一年的持续性修复,可以看到, 15 年统计的 TOP25 ,出现了较多的发展中国家(如中国、巴西
发布时间:2015-04-09 13:40 | 阅读:111850 | 评论:0 | 标签:动态 zoomeye 心脏出血

心脏还在出血 全球排名2000以内的企业大多数仍受影响

密钥管理公司Venafi昨日发布报告称,在全球排名2000以内的企业有四分之三还容易遭受对心脏滴血漏洞的攻击。因为他们并没有充分的加固系统,以杜绝该漏洞。通过扫描《财富》2000强排行榜单内企业的公开系统,Venafi发现74%的系统仍然受心脏滴血漏洞的影响,该漏洞从公布到现在已经整整一年的时间。虽然这些公司都已经打上心脏滴血的漏洞补丁,但攻击者在打补丁之前利用该漏洞获得的SSL密钥和证书还可以在超过1200家企业的系统中使用,包括VPN及其他网络服务。2014年4月7日,OpenSSL公布了在全球范围内得到广泛使用的SSL协议存在一个严重漏洞,该漏洞可令攻击者远程轻易地获取服务器上的敏感信息,包括密码、安全数据和私人密钥。在漏洞披露的48小时之内,全球最流行的网站和服务都迅速地打上了补丁。然而,攻击者利用这两
发布时间:2015-04-09 00:25 | 阅读:106646 | 评论:0 | 标签:动态 安全警报 一周年 心脏出血

“心脏出血”漏洞一周年全球普查

知道创宇 ZoomEye 团队    2015 . 04 . 08 本文英文版 PDF 下载:Annual Global Census of Heartbleed 概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSLHeartbleed 模块存在一个 Bug,攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSLHeartbleed)
发布时间:2015-04-08 14:30 | 阅读:98340 | 评论:0 | 标签:安全研究 技术分享 1 周年回顾 OPenSSL 心脏出血 漏洞

一洞观全球:看各国网络战防御能力

  1. 引言   在真正的网络战打响之前,去评估各国的网络战能力是困难的。真实战争可以通过武器、作战人数、战略资源等去评估国家的作战能力,而网络战是无形且隐蔽的,我们很难去评估各个国家网络战时的攻击和防御能力。 此次的“心脏出血”漏洞,全球影响范围广,影响目标重要,影响危害大,且在技术上容易检测,为我们比较各个国家的网络战能力提供了一次非常难得的机会。 江 湖上流传着一句名言:天下武功,唯快不破;在网络安全攻防对抗上亦是如此。“心脏出血”漏洞爆发后的前三天是黄金期,对于攻击者来说,是进行漏洞攻击的黄 金期,攻击时间窗口非常短暂;对于防御者来说,是进行漏洞修复的黄金期,和攻击者进行时间赛跑,需要以最快的速度进行漏洞修复。 因此,“心脏出血”漏洞爆发后的前三天,可以说在整个全球范围,上演了一场
发布时间:2014-12-06 12:40 | 阅读:141103 | 评论:0 | 标签:技术分享 一洞观全球 全球 心脏出血 漏洞 破壳漏洞

如何阻止下一次心脏出血漏洞

原文:How to Prevent the next Heartbleed.docx翻译:赵阳一、引言基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件,你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的
发布时间:2014-07-17 11:45 | 阅读:166328 | 评论:0 | 标签:网络安全 观点 openssl 心脏出血 漏洞分析 漏洞

心脏出血,丘比特与无线网络

写在前面:心脏出血漏洞又坑了一把无线网络,这次的利用方法比较苛刻,最容易中招的是基于EAP的路由器,也是很多大型公司所使用的路由器。原文地址正文:自从我发现了丘比特漏洞,得到了很多关注,也收到了很多问题,在下面的文章中我将回答一下这些问题。What is cupid?丘比特是我给Linux中“hostapd” 和 “wpa_supplicant”这两个文件的补丁的名字。这两个补丁修复了程序在TLS链接时产生心脏出血漏洞的行为。hostapd 是linux建立Access Point所使用的程序,而wpa_supplicant是linux和anroid用来连接无线网络所使用的程序。(有趣的是这两个程序都是一个人写的,很多代码都一样,所以补丁也差不多)How does the attack work
发布时间:2014-06-20 14:35 | 阅读:87556 | 评论:0 | 标签:WEB安全 heartbleed 心脏出血

OpenSSL心脏出血漏洞全回顾

‍‍近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。OpenSSL心脏出血漏洞的大概原理是OpenSSL在2年前引入了心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制是作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有做边界的检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器,也可以是客户端)内存中的一些数据,至少可
发布时间:2014-04-17 11:00 | 阅读:74761 | 评论:0 | 标签:网络安全 heartbleed openssl 心脏出血 漏洞

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云