- A+
所属分类:网络安全
OpenSSL爆出本年度最严重的安全漏洞,此漏洞在黑客社区被命名为“心脏出血”漏洞。
漏洞危害:利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取https开头网址的用户登录账号密码。
影响范围:包括大批网银,知名购物、社交、门户网站,以及电子邮件等,影响至少两亿中国网民。
漏洞成因:OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后 的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据
漏洞修复:升级OpenSSL 1.0.1g,使用 -DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL 以禁用Heartbleed模块。
以下是openssl漏洞在线平台:(排名不分先后)
百度安全中心:http://sec.baidu.com/index.php?heartbleed
知道创宇实验室:http://www.scanv.com/lab
360“心血”漏洞检查:http://wangzhan.360.cn/heartbleed
瑞星OpenSSL 漏洞检查:http://hd.rising.com.cn/Integraldrawing/openssl/index.html
绿盟科技openssl漏洞检查:https://portal.nsfocus.com/event/scan/heartbleed/
安恒信息openssl漏洞检测:http://www.websaas.com.cn/login
国外openssl漏洞在线检测平台:
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
