记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

“心脏出血”漏洞一周年全球普查

知道创宇 ZoomEye 团队    2015 . 04 . 08 本文英文版 PDF 下载:Annual Global Census of Heartbleed 概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSLHeartbleed 模块存在一个 Bug,攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSLHeartbleed)
发布时间:2015-04-08 14:30 | 阅读:98340 | 评论:0 | 标签:安全研究 技术分享 1 周年回顾 OPenSSL 心脏出血 漏洞

OpenSSL修补系列高危漏洞

 OpenSSL漏洞一览          OpenSSL是对SSL和TLS协议的开源实现。这是一个技术的广泛使用,几乎每一个网站,Web会话进行加密,即使是在互联网上的网站的权力几乎有一半使用OpenSSL的Apache Web服务器。            OpenSSL的基金会表示他们将在本周四修复多个OpenSSL的安全漏洞在其广泛使用的开源软件,包括其中一个高危漏洞。         心脏出血漏洞(CVE-2014-0160)去年四月被发现在较早版本的OpenSSL,允许黑客读取用户的加密数据的敏感内容,如信用卡交易,甚至从互联网服务器或客户端软件盗取SSL密钥。         此外,同年6月份一个中间人攻击(MITM)漏洞(CVE-2014-0224)被发现并由OpenSSL项目组修复。不
发布时间:2015-03-23 00:30 | 阅读:105534 | 评论:0 | 标签:Web安全 CVE-2014-0160 CVE-2014-0224 CVE-2015-0204 CVE-2015-029

OpenSSL FREAK Attack漏洞(CVE-2015-0204)检测方法及修复建议

0x01 前言 临近元宵佳节之际,OpenSSL又因为FREAK attack(also known as the Factoring Attack on RSA-EXPORT Keys vulnerability or CVE-2015-0204)漏洞吵得沸沸扬扬的。 苹果和谷歌均在本周二表示,它们正在修复近期发现的“FREAK”信息安全漏洞,这一漏洞已经影响了诸多移动设备和Mac电脑。 该漏洞是由于OpenSSL库里的s3_clnt.c文件中,ssl3_get_key_exchange函数,允许客户端使用一个弱RSA秘钥,向SSL服务端发起RSA-to-EXPORT_RSA的降级攻击,以此进行暴力破解,得到服务端秘钥。此问题存在于OpenSSL版本0.9.8zd之前, 或1.0.0p之前的1.0.0,或1
发布时间:2015-03-07 22:05 | 阅读:192760 | 评论:0 | 标签:系统安全 alert handshake failure americanexpress.com anquanmaibo

又一重大漏洞现身 “疯怪”危及世界互联网安全

安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级
发布时间:2015-03-05 19:20 | 阅读:104991 | 评论:0 | 标签:动态 安全警报 freak OpenSSL 漏洞

OpenSSL出现新漏洞 多个著名网站可能受影响#CVE-2015-0204#

3月4日,猎豹移动安全实验室(原金山毒霸)发布安全警告,著名开源软件OpenSSL又爆出新漏洞Tracking the FREAK Attack(CVE-2015-0204)。目前已知国内多个著名网站搜狐、苏宁、Smzdm等存在该漏洞,如果用户在不安全的网络下访问这些网站,可能被窃取账号密码、被迫访问钓鱼网站等。 据介绍,该漏洞存在于OpenSSL的通讯协商处理方式上。在用户客户端与存在漏洞的网站建立连接时(包括网页访问和APP访问),如果网络安全较差,典型情况如免费WIFI网络,则黑客可以通过修改协商的关键数据包,强迫服务器和用户之间使用安全度较低的加密方式,然后再通过暴力破解,来窃取用户的重要密码;或者修改两者之间的数据连接,诱导用户访问钓鱼网站。 从技术角度讲,黑客想利用该漏洞需要两个必要条件: 1、目标
发布时间:2015-03-05 16:50 | 阅读:188612 | 评论:0 | 标签:业界 CVE-2015-0204 OpenSSL Tracking the FREAK Attack 漏洞

美国早期技术出口管制造成Freak漏洞,影响Android及Safari用户

该漏洞主要原因为被刻意削弱的出口密码套件,这种演算法是1990年代美国政府为了让NSA能够破解所有加密的外国通讯而发展的技术,安全等级较高的加密演算法则被视为战争武器而禁止出口。虽然2000年后美国逐步放松密码出口管制,但至今许多安全实作仍支援这套弱演算法,讽刺的是,美国许多政府机关,包括NSA、FBI,还有诸如IBM及赛门铁克等重量级的知名网站竟然伺服器也使用出口密码套件, 安全研究人员发现TLS/SSL安全漏洞,可让骇客发动跨站攻击以窃取使用者帐密资料,影响Android浏览器及苹果Safari用户。而这个漏洞的原因,竟然源自于美国过去对于技术的出口管制。 法国安全公司Inria及微软研究院人员合组的研究计画miTLS发现数个SSL实作中的漏洞,其中一个名为FREAK(Factoring RSA Expo
发布时间:2015-03-05 16:50 | 阅读:149801 | 评论:0 | 标签:业界 CVE-2015-0204 Inria NSA OpenSSL 漏洞 Android

Tracking the FREAK Attack(CVE-2015-0204)检测办法

执行命令: openssl s_client -connect www.ijiandao.com:443 -cipher EXPORT CONNECTED 61728:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.10.1/src/ssl/s23_clnt.c:593: 替换“www.ijiandao.com”做你的域名。如果你看到一种“alert handshake failure”这类的警报,你就是安全的。   截止小编发稿前,部分厂商已经完成修复。   相关新闻请链接至:http://www.i
发布时间:2015-03-05 16:50 | 阅读:331344 | 评论:0 | 标签:技术 CVE-2015-0204 OpenSSL

如何阻止下一次心脏出血漏洞

原文:How to Prevent the next Heartbleed.docx翻译:赵阳一、引言基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件,你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的
发布时间:2014-07-17 11:45 | 阅读:166328 | 评论:0 | 标签:网络安全 观点 openssl 心脏出血 漏洞分析 漏洞

Ruby OpenSSL 私钥伪造脚本

前段时间的openssl  heartbleed 让我们心惊胆战的过了几天。从用户数据泄露到 OpenSSL周边产品,从服务端到客户端, 从https 私钥泄露到 openvpn 、openssh 、sftp 等私钥泄露。很多地方我们无能为力。太多的用户都认为https 就是安全的了, 在此之前也有各种各样的中间人攻击出现下面我也贴段代码给大家看看。是 Ruby OpenSSL 的私钥伪造。为了社会的和谐,具体用法我就不说了。能看懂的直接拿去用…require 'rubygems'require 'openssl'require 'digest/md5'key = OpenSS
发布时间:2014-04-22 14:00 | 阅读:89636 | 评论:0 | 标签:工具 openssl 中间人攻击 私钥伪造

CVE-2014-0160 Heartbleed分析报告

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。1、漏洞说明OpenSSL Security Advisory [07 Apr 2014]========================================TLS heartbeat&n
发布时间:2014-04-18 14:25 | 阅读:131367 | 评论:0 | 标签:WEB安全 heartbleed openssl ssl tls

OpenSSL心脏出血漏洞全回顾

‍‍近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。OpenSSL心脏出血漏洞的大概原理是OpenSSL在2年前引入了心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制是作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有做边界的检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器,也可以是客户端)内存中的一些数据,至少可
发布时间:2014-04-17 11:00 | 阅读:74761 | 评论:0 | 标签:网络安全 heartbleed openssl 心脏出血 漏洞

Linux下调用openssl的md5类生成文件和字符串md5

Neeao's Blog ( http://neeao.com/ ) : 找个能使用的c++调用openssl的代码都这么难,自己写了个,记录下。 以下代码在CentOS5下测试可用。 //============================================================================ // Name : m d 5.cpp // Author : Neeao // Version : // Copyright : http://Neeao.com //======================================================================
发布时间:2013-01-07 20:04 | 阅读:151946 | 评论:0 | 标签:程序开发 md5 openssl centos

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云