记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

从心脏出血到量子安全,OpenSSL到底是怎样的存在?

“心脏出血”引起的轩然大波很多人仍对2014年4月7日爆发的心脏出血(Heartbleed)漏洞记忆犹新。一夜之间,全球三分之二的服务器岌岌可危,一个声名不显的团队——OpenSSL让无数的管理员夜不能寐。在SSL(安全套接层协议)领域,OpenSSL是当之无愧的无冕之王,该团队的“大管家”Steve Marquess在最近的中国行中提出了一个比喻,可以很好地解释他们的工作:你可以把网络想像成电路,信息就是电流,OpenSSL则像是电线绝缘层,确保电流能安全传输而非四处泄露。但是,问题在于,用户接触的只是最外层的“电源接口”,因此“OpenSSL对于终端的用户是隐形的、看不到的。
发布时间:2017-10-07 08:10 | 阅读:125398 | 评论:0 | 标签:牛闻牛评 OpenSSL 心脏出血

小错误引发大危机——心脏出血到底是什么?

心脏出血漏洞可以追根溯源到开源代码库OpenSSL里的一行代码上。本文将告诉你心脏出血的工作原理、利用状况以及怎样修复未打补丁的服务器。2014年4月,心脏出血漏洞进入了公众视野,该漏洞为攻击者提供了前所未有的敏感信息获取途径,并且成千上万的网络服务器上存在心脏出血漏洞,就连雅虎这样的网络巨头也在此列。开源代码库OpenSSL中的一个漏洞是引发心脏出血的罪魁祸首,该漏洞使用了传输层安全协议(TLS)和加密套接字协议层(SSL)协议。通过这个漏洞,简而言之,恶意用户可以很容易地诱骗一个脆弱的网络服务器发送用户名和密码等敏感信息。
发布时间:2017-09-28 03:40 | 阅读:109342 | 评论:0 | 标签:牛闻牛评 OpenSSL 安全漏洞 心脏出血

OpenSSL的过去、现在和未来

极少有什么事物在其发展历程中有确定的转折点——那种唯一的日子,人们可以明确指出并感叹:“这就是所有的一切都改变了的那天!”作者:迈克尔·米莫索,前TechTarget安全频道主编译者:nana对OpenSSL而言,那一天是2014年4月7日,“心脏滴血”进入安全词典的日子。心脏滴血是历史悠久的加密库中的一个高危漏洞。OpenSSL应用广泛,成千上万的商业和自用软件项目都有应用。心脏滴血的爆出意味着,这个全互联网范围的漏洞能泄露足够的内存供黑客挖掘出从登录凭证到加密密钥的任何东西。对全世界的服务器管理员来说那是非常糟糕的一天,对维护OpenSSL的小团队而言那同样是地狱般的一天。
发布时间:2015-05-14 23:45 | 阅读:105780 | 评论:0 | 标签:动态 OpenSSL 开源软件 心脏出血

钟馗之眼:心脏出血一周年 国内还有超1万IP未修复

国内知名安全研究团队钟馗之眼(ZoomEye)于本周二发布心脏出血漏洞一周年全球普查报告,报告显示目前国内还有10,682个IP受心脏出血漏洞的影响。通
发布时间:2015-04-09 13:40 | 阅读:116840 | 评论:0 | 标签:动态 zoomeye 心脏出血

心脏还在出血 全球排名2000以内的企业大多数仍受影响

密钥管理公司Venafi昨日发布报告称,在全球排名2000以内的企业有四分之三还容易遭受对心脏滴血漏洞的攻击。因为他们并没有充分的加固系统,以杜绝该漏洞。通过扫描《财富》2000强排行榜单内企业的公开系统,Venafi发现74%的系统仍然受心脏滴血漏洞的影响,该漏洞从公布到现在已经整整一年的时间。虽然这些公司都已经打上心脏滴血的漏洞补丁,但攻击者在打补丁之前利用该漏洞获得的SSL密钥和证书还可以在超过1200家企业的系统中使用,包括VPN及其他网络服务。
发布时间:2015-04-09 00:25 | 阅读:112381 | 评论:0 | 标签:动态 安全警报 一周年 心脏出血

“心脏出血”漏洞一周年全球普查

知道创宇 ZoomEye 团队    2015 . 04 . 08 本文英文版 PDF 下载:Annual Global Census of Heartbleed 概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。
发布时间:2015-04-08 14:30 | 阅读:105490 | 评论:0 | 标签:安全研究 技术分享 1 周年回顾 OPenSSL 心脏出血 漏洞

一洞观全球:看各国网络战防御能力

  1. 引言   在真正的网络战打响之前,去评估各国的网络战能力是困难的。真实战争可以通过武器、作战人数、战略资源等去评估国家的作战能力,而网络战是无形且隐蔽的,我们很难去评估各个国家网络战时的攻击和防御能力。 此次的“心脏出血”漏洞,全球影响范围广,影响目标重要,影响危害大,且在技术上容易检测,为我们比较各个国家的网络战能力提供了一次非常难得的机会。 江 湖上流传着一句名言:天下武功,唯快不破;在网络安全攻防对抗上亦是如此。
发布时间:2014-12-06 12:40 | 阅读:149496 | 评论:0 | 标签:技术分享 一洞观全球 全球 心脏出血 漏洞 破壳漏洞

如何阻止下一次心脏出血漏洞

原文:How to Prevent the next Heartbleed.docx翻译:赵阳一、引言基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。
发布时间:2014-07-17 11:45 | 阅读:172147 | 评论:0 | 标签:网络安全 观点 openssl 心脏出血 漏洞分析 漏洞

心脏出血,丘比特与无线网络

写在前面:心脏出血漏洞又坑了一把无线网络,这次的利用方法比较苛刻,最容易中招的是基于EAP的路由器,也是很多大型公司所使用的路由器。原文地址正文:自从我发现了丘比特漏洞,得到了很多关注,也收到了很多问题,在下面的文章中我将回答一下这些问题。What is cupid?丘比特是我给Linux中“hostapd” 和 “wpa_supplicant”这两个文件的补丁的名字。这两个补丁修复了程序在TLS链接时产生心脏出血漏洞的行为。hostapd 是linux建立Access Point所使用的程序,而wpa_supplicant是linux和anroid用来连接无线网络所使用的程序。
发布时间:2014-06-20 14:35 | 阅读:93043 | 评论:0 | 标签:WEB安全 heartbleed 心脏出血

OpenSSL心脏出血漏洞全回顾

‍‍近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。
发布时间:2014-04-17 11:00 | 阅读:81060 | 评论:0 | 标签:网络安全 heartbleed openssl 心脏出血 漏洞

ADS

标签云