记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

江南天安开源基于国产密码算法的OpenSSL密码库

OpenSSL是一个安全套接字层密码库,是一个基于密码学的安全开发包。OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL在国内应用极其广泛,但是一直以来,就只提供国际通用密码算法,国产密码算法一直没有真正的嵌入。
发布时间:2018-01-19 08:20 | 阅读:165639 | 评论:0 | 标签:技术产品 OpenSSL TASSL 国密 江南天安

从心脏出血到量子安全,OpenSSL到底是怎样的存在?

“心脏出血”引起的轩然大波很多人仍对2014年4月7日爆发的心脏出血(Heartbleed)漏洞记忆犹新。一夜之间,全球三分之二的服务器岌岌可危,一个声名不显的团队——OpenSSL让无数的管理员夜不能寐。在SSL(安全套接层协议)领域,OpenSSL是当之无愧的无冕之王,该团队的“大管家”Steve Marquess在最近的中国行中提出了一个比喻,可以很好地解释他们的工作:你可以把网络想像成电路,信息就是电流,OpenSSL则像是电线绝缘层,确保电流能安全传输而非四处泄露。但是,问题在于,用户接触的只是最外层的“电源接口”,因此“OpenSSL对于终端的用户是隐形的、看不到的。
发布时间:2017-10-07 08:10 | 阅读:126132 | 评论:0 | 标签:牛闻牛评 OpenSSL 心脏出血

小错误引发大危机——心脏出血到底是什么?

心脏出血漏洞可以追根溯源到开源代码库OpenSSL里的一行代码上。本文将告诉你心脏出血的工作原理、利用状况以及怎样修复未打补丁的服务器。2014年4月,心脏出血漏洞进入了公众视野,该漏洞为攻击者提供了前所未有的敏感信息获取途径,并且成千上万的网络服务器上存在心脏出血漏洞,就连雅虎这样的网络巨头也在此列。开源代码库OpenSSL中的一个漏洞是引发心脏出血的罪魁祸首,该漏洞使用了传输层安全协议(TLS)和加密套接字协议层(SSL)协议。通过这个漏洞,简而言之,恶意用户可以很容易地诱骗一个脆弱的网络服务器发送用户名和密码等敏感信息。
发布时间:2017-09-28 03:40 | 阅读:109863 | 评论:0 | 标签:牛闻牛评 OpenSSL 安全漏洞 心脏出血

加密软件公司Mocana融资近亿美元 涉入工控安全和物联网安全领域

当前网络安全中的两个常量,是来自不安全IoT僵尸网络(Mirai、WireX等)日益增长的威胁,以及强加密提供的持续性安全。这家风投资本投注公司的使命之一,就是用后者解决前者。Mocana成立于2002年,是一家军事应用嵌入式安全软件公司。在风投资本的帮助下(2017年5月的一笔1100万美元投资,将其融资总额拉升到了9360万美元),该公司业务扩展到了ICS和工业物联网(IIoT)及消费IoT领域。Mocana首席技术官迪安·韦伯称:“我们是一家加密公司。传统安全一直提供的是网络控制层和边界防护,甚至对IoT设备也是如此,但我们不一样。我们用加密,为IoT、移动和工业设备打造信任平台。
发布时间:2017-09-26 00:56 | 阅读:138286 | 评论:0 | 标签:行业动态 Mocana OpenSSL 加密可信度 加密软件 工控安全 物联网安全 加密

“未来密码”——OpenSSL中国行报名全面开启

首先,“名词解释”环节必不可少~OpenSSLOpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均使用OpenSSL开源项目。作为一个全球性的开源项目,由OpenSSL团队主要负责开发、维护。未来密码本次OpenSSL团队来华交流,除介绍OpenSSL项目中已实现的加密形式、算法外,还将与中国的开发者群体共同探讨“量子加密”“后量子时代的密码学”等行业前沿议题,探索“未来密码”,解锁未来互联网的无限可能。
发布时间:2017-09-21 02:15 | 阅读:133650 | 评论:0 | 标签:活动集中营 HTTPS OpenSSL 后量子时代 密码学 白山云

全站升级HTTPS,以及SSL安全扫描

从目前来看,HTTPS已经是大势所趋,并且google将对HTTPS的站点给予较高的权重,想到namecheap还有一个免费的SSL证书,于是HTTPS走起来。 购买SSL证书有很多
发布时间:2016-11-13 22:35 | 阅读:221857 | 评论:0 | 标签:技术分享 网络安全 Nginx openssl 扫描

令黑客一筹莫展的编程方法

2014年4月7日,世界首次知道心脏滴血漏洞。OpenSSL中TLS/DTLS(传输层安全协议)心跳扩展实现上的一个小漏洞,却能使攻击者解开受脆弱OpenSSL软件保护系统中的加密措施。在当时,这些加密措施占据了公网大约2/3的江山。攻击者可以窃听那些看起来加密了的通信,盗取隐私数据,冒充服务和用户。 漏洞一见诸报道,OpenSSL便发布了针对心脏滴血的补丁。即便如此,1年半之后,仍有20多万台设备没有打上补丁。 心脏滴血只是冰山一角 围绕心脏滴血的所有关注(当然还有不必要的心理恐惧),表明了小小编程失误在当下互联时代会造成多大的破坏。 计算机技术早期,漏洞不过意味着一点点的不便。
发布时间:2016-10-01 03:50 | 阅读:97994 | 评论:0 | 标签:牛闻牛评 OpenSSL 代码验证 安全编程 心脏滴血

OpenSSL技术分析与处理建议

阅读: 32016年4月28日(Thu Apr 28 13:20:13 UTC 2016),OpenSSL官方公告,将会在2016年5月4日(Thu May 3 12:00-15:00 UTC 2016)发布新版本,修复多个关于OpenSSL高级别威胁漏洞。
发布时间:2016-05-07 03:15 | 阅读:123990 | 评论:0 | 标签:安全报告 NSFOCUS openssl 修复方法 威胁漏洞 技术分析 处理建议 漏洞技术分析 绿盟科技

赛门铁克:我们能否信任 OpenSSL?

本文将探讨由于漏洞利用(如广为人知的 Heartbleed 漏洞),这种被广泛使用的加密解决方案引发的安全问题。我们还将讨论能够采取哪些步骤为敏感数据提供更高的 安全性,同时避免遭受亚太地区政府愈加严厉的惩罚。更高的罚款尽管亚太地区设置的数据安全标准没有欧盟的标准那么高,但总体趋势是,与数据安全做法有关的规定愈发严格。例如,韩国在 2014 年通过了《个人信息保护法修正案》,进 一步加强了本已相当严格的安全控制。根据修正案的规定, 公司如今必须向受影响的个人报告所有数据泄露情况,并且 当涉及人数达到 10,000 人时,必须向政府报告。违反者最高可被处以 1 亿韩元的罚款,甚至可能面临监禁。
发布时间:2016-04-21 18:10 | 阅读:108880 | 评论:0 | 标签:安全报告 openssl

OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议

3月1日爆出OpenSSL最新安全漏洞“DROWN”,SSL证书用户应该如何应对?沃通CA从专业角度给出应对策略。 什么是Drown漏洞 “DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。 “DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。
发布时间:2016-03-05 02:30 | 阅读:139083 | 评论:0 | 标签:业界 DROWN OpenSSL WoSign CA 漏洞

OpenSSL CVE-2016-0800 和 CVE-2016-0703 漏洞修复细节拾趣

*原创作者:au2o3t@360 CloudSec Team(360信息安全部)1. 引子本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。感谢Shawn的指点!hf! 2. 细节360在内部信息安全实践历程中,“360信息安全部”逐步秉承最佳安全实践,在https等ssl领域逐渐做出了明显的变化。比如重要系统中禁止不安全的加密套件使用,来减少ssl的攻击面。
发布时间:2016-03-03 15:15 | 阅读:111149 | 评论:0 | 标签:漏洞 CVE-2016-0703 CVE-2016-0800 openssl

OpenSSL又出新漏洞,超过1100万https站点受影响

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。影响超过1100万网站我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右。
发布时间:2016-03-02 23:55 | 阅读:107421 | 评论:0 | 标签:漏洞 openssl

OpenSSL的drown漏洞:超过1100万的OpenSSL的HTTPS网站存在风险

前言:OpenSSL的drown漏洞允许攻击者破坏加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。安妮儿紧急的翻译了Swati Khandelwal的这篇文章,希望对伙伴们有所帮助,由于时间紧急,翻译不足之处请见谅。 OpenSSL的drown漏洞 OpenSSL爆出了一种新的致命的安全漏洞,影响超过1100万的网站和SSLv2,SSLv2一个古老的协议,虽然现在许多客户端已经不支持使用SSLv2。 之所以被称为drown,是因为drown影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。
发布时间:2016-03-02 13:10 | 阅读:103954 | 评论:0 | 标签:安全 OpenSSL 漏洞

OpenSSL高危漏洞:允许黑客解密HTTPS通信流量(CVE-2016-0701)

OpenSSL加密代码库的维护者们宣布修复了一个高危漏洞。该漏洞能让黑客获取在HTTPS和其他安全传输层,对加密通信进行解密的密钥。OpenSSL漏洞细节当各种条件满足时,该漏洞就可以被利用。首先,这个漏洞存在于OpenSSL v1.0.2。依赖它的应用,必须是使用数字签名算法生成基于DH密钥交换的临时key。默认情况下,该类服务器将复用相同的DH私钥,这会让它更易受到密钥覆盖攻击。基于DSA的DH(Diffie Hellman)配置(依赖于静态DH加密套件),也是会受影响的。幸运的是,许多主流应用的配置并不是OpenSSL+基于DSA的DH。
发布时间:2016-02-02 00:45 | 阅读:129178 | 评论:0 | 标签:WEB安全 数据安全 漏洞 https openssl 加密流量

OpenSSL的过去、现在和未来

极少有什么事物在其发展历程中有确定的转折点——那种唯一的日子,人们可以明确指出并感叹:“这就是所有的一切都改变了的那天!”作者:迈克尔·米莫索,前TechTarget安全频道主编译者:nana对OpenSSL而言,那一天是2014年4月7日,“心脏滴血”进入安全词典的日子。心脏滴血是历史悠久的加密库中的一个高危漏洞。OpenSSL应用广泛,成千上万的商业和自用软件项目都有应用。心脏滴血的爆出意味着,这个全互联网范围的漏洞能泄露足够的内存供黑客挖掘出从登录凭证到加密密钥的任何东西。对全世界的服务器管理员来说那是非常糟糕的一天,对维护OpenSSL的小团队而言那同样是地狱般的一天。
发布时间:2015-05-14 23:45 | 阅读:105913 | 评论:0 | 标签:动态 OpenSSL 开源软件 心脏出血

“心脏出血”漏洞一周年全球普查#知道创宇#

概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSL Heartbleed 模块存在一个 Bug,攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSL Heartbleed)”漏洞。
发布时间:2015-04-08 21:55 | 阅读:127414 | 评论:0 | 标签:技术 OpenSSL zoomeye 知道创宇 漏洞

“心脏出血”漏洞一周年全球普查

知道创宇 ZoomEye 团队    2015 . 04 . 08 本文英文版 PDF 下载:Annual Global Census of Heartbleed 概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。
发布时间:2015-04-08 14:30 | 阅读:106518 | 评论:0 | 标签:安全研究 技术分享 1 周年回顾 OPenSSL 心脏出血 漏洞

OpenSSL修补系列高危漏洞

 OpenSSL漏洞一览          OpenSSL是对SSL和TLS协议的开源实现。这是一个技术的广泛使用,几乎每一个网站,Web会话进行加密,即使是在互联网上的网站的权力几乎有一半使用OpenSSL的Apache Web服务器。            OpenSSL的基金会表示他们将在本周四修复多个OpenSSL的安全漏洞在其广泛使用的开源软件,包括其中一个高危漏洞。         心脏出血漏洞(CVE-2014-0160)去年四月被发现在较早版本的OpenSSL,允许黑客读取用户的加密数据的敏感内容,如信用卡交易,甚至从互联网服务器或客户端软件盗取SSL密钥。
发布时间:2015-03-23 00:30 | 阅读:114641 | 评论:0 | 标签:Web安全 CVE-2014-0160 CVE-2014-0224 CVE-2015-0204 CVE-2015-029

OpenSSL FREAK Attack漏洞(CVE-2015-0204)检测方法及修复建议

0x01 前言 临近元宵佳节之际,OpenSSL又因为FREAK attack(also known as the Factoring Attack on RSA-EXPORT Keys vulnerability or CVE-2015-0204)漏洞吵得沸沸扬扬的。 苹果和谷歌均在本周二表示,它们正在修复近期发现的“FREAK”信息安全漏洞,这一漏洞已经影响了诸多移动设备和Mac电脑。
发布时间:2015-03-07 22:05 | 阅读:212527 | 评论:0 | 标签:系统安全 alert handshake failure americanexpress.com anquanmaibo

又一重大漏洞现身 “疯怪”危及世界互联网安全

安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。
发布时间:2015-03-05 19:20 | 阅读:111313 | 评论:0 | 标签:动态 安全警报 freak OpenSSL 漏洞

OpenSSL出现新漏洞 多个著名网站可能受影响#CVE-2015-0204#

3月4日,猎豹移动安全实验室(原金山毒霸)发布安全警告,著名开源软件OpenSSL又爆出新漏洞Tracking the FREAK Attack(CVE-2015-0204)。目前已知国内多个著名网站搜狐、苏宁、Smzdm等存在该漏洞,如果用户在不安全的网络下访问这些网站,可能被窃取账号密码、被迫访问钓鱼网站等。 据介绍,该漏洞存在于OpenSSL的通讯协商处理方式上。
发布时间:2015-03-05 16:50 | 阅读:197699 | 评论:0 | 标签:业界 CVE-2015-0204 OpenSSL Tracking the FREAK Attack 漏洞

美国早期技术出口管制造成Freak漏洞,影响Android及Safari用户

该漏洞主要原因为被刻意削弱的出口密码套件,这种演算法是1990年代美国政府为了让NSA能够破解所有加密的外国通讯而发展的技术,安全等级较高的加密演算法则被视为战争武器而禁止出口。虽然2000年后美国逐步放松密码出口管制,但至今许多安全实作仍支援这套弱演算法,讽刺的是,美国许多政府机关,包括NSA、FBI,还有诸如IBM及赛门铁克等重量级的知名网站竟然伺服器也使用出口密码套件, 安全研究人员发现TLS/SSL安全漏洞,可让骇客发动跨站攻击以窃取使用者帐密资料,影响Android浏览器及苹果Safari用户。而这个漏洞的原因,竟然源自于美国过去对于技术的出口管制。
发布时间:2015-03-05 16:50 | 阅读:155448 | 评论:0 | 标签:业界 CVE-2015-0204 Inria NSA OpenSSL 漏洞 Android

Tracking the FREAK Attack(CVE-2015-0204)检测办法

执行命令: openssl s_client -connect www.ijiandao.com:443 -cipher EXPORT CONNECTED 61728:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.10.1/src/ssl/s23_clnt.c:593: 替换“www.ijiandao.com”做你的域名。
发布时间:2015-03-05 16:50 | 阅读:344151 | 评论:0 | 标签:技术 CVE-2015-0204 OpenSSL

如何阻止下一次心脏出血漏洞

原文:How to Prevent the next Heartbleed.docx翻译:赵阳一、引言基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。
发布时间:2014-07-17 11:45 | 阅读:172702 | 评论:0 | 标签:网络安全 观点 openssl 心脏出血 漏洞分析 漏洞

Ruby OpenSSL 私钥伪造脚本

前段时间的openssl  heartbleed 让我们心惊胆战的过了几天。从用户数据泄露到 OpenSSL周边产品,从服务端到客户端, 从https 私钥泄露到 openvpn 、openssh 、sftp 等私钥泄露。很多地方我们无能为力。太多的用户都认为https 就是安全的了, 在此之前也有各种各样的中间人攻击出现下面我也贴段代码给大家看看。是 Ruby OpenSSL 的私钥伪造。为了社会的和谐,具体用法我就不说了。
发布时间:2014-04-22 14:00 | 阅读:94447 | 评论:0 | 标签:工具 openssl 中间人攻击 私钥伪造

CVE-2014-0160 Heartbleed分析报告

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
发布时间:2014-04-18 14:25 | 阅读:138011 | 评论:0 | 标签:WEB安全 heartbleed openssl ssl tls

OpenSSL心脏出血漏洞全回顾

‍‍近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。
发布时间:2014-04-17 11:00 | 阅读:81060 | 评论:0 | 标签:网络安全 heartbleed openssl 心脏出血 漏洞

Linux下调用openssl的md5类生成文件和字符串md5

Neeao's Blog ( http://neeao.com/ ) : 找个能使用的c++调用openssl的代码都这么难,自己写了个,记录下。 以下代码在CentOS5下测试可用。 //===============================
发布时间:2013-01-07 20:04 | 阅读:159504 | 评论:0 | 标签:程序开发 md5 openssl centos

ADS

标签云