心脏出血漏洞(CVE-2014-0160)

利用范围

漏洞编号: CVE-2014-0160
发现人员: 安全公司Codenomicon和谷歌安全工程师
漏洞简述: OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
影响版本: OpenSSL 1.0.2-beta, OpenSSL 1.0.1 - OpenSSL 1.0.1f
触发函数: memcpy函数

原理

OpenSSL 是一个安全协议,它可以对用户与大多数网络服务所提供的服务器之间的通信进行加密。因为很多网站(例如google等)采用的是 OpenSSL 来保护敏感的用户信息,但是OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。

利用

两种方式检测目标是否存在heartbleed漏洞

  1. 在线检测

https://filippo.io/Heartbleed
https://www.ssllabs.com/ssltest/index.html
http://possible.lv/tools/hb/
~~感觉不是很有用

  1. 脚本检测

    • 通过 ssltest.py
    • 通过nmap

通过wireshark抓包查看对话

总结

检测是否存在heartbleed漏洞
详细

心脏滴血漏洞(CVE-2014-0160)相关推荐

  1. “心脏滴血漏洞”测评经验分享

    "心脏滴血漏洞"测评经验分享 1 前言 1.1 编写目的 经验分析贴,赚C币买文章: 1.2 读者对象 本文档读者对象为:测评相关工程师.项目管理者.测试工程师.质量管理人员.文档 ...

  2. 【web攻防】破壳漏洞【CVE-2014-6271】与心脏滴血漏洞 【CVE-2014-0160】 docker 复现 学习过程

    其实最近的确是想更新一些文章的,但一直在忙于挖洞和挖洞技巧学习,前者肯定不能发真实案例,后者学的太零碎太杂,自己也处于一个积累的过程,发一些边边角角的内容也没意思. 虽然相比以前的确有了一点进步,但我 ...

  3. “心脏滴血”漏洞复现

    "心脏滴血"简介: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64KB缓存.将超 ...

  4. 一次心脏滴血漏洞的bug处理过程

    一个p2p平台,一次内部安全事件的处理过程,一个关乎投资人利益的网络投资平台,一个无知者无畏的年代.口口声声对外宣称安全.可靠.高收益.-- [步骤] 1.对应用https的系统进行ssl协议已公开漏 ...

  5. 心脏滴血漏洞利用(CVE-2014-0160)

    0x00 前置知识 心脏滴血漏洞复现(CVE-2014-0160) - 知乎 1.心脏滴血简介 心脏出血漏洞"是指openssl这个开源软件中的一个漏洞,因为该软件使用到一个叫做heartb ...

  6. 心脏滴血漏洞复现(CVE-2014-0160)

    漏洞范围: OpenSSL1.0.1版本 漏洞成因: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64 ...

  7. 心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析

    前几天有人问我你不是看过openssl吗?那聊聊openssl漏洞,当时我一脸迷茫.我说我知道著名的心脏滴血漏洞,但是具体漏洞是什么原因导致的没有回答上来.对于自诩看过openssl源码的人,我觉得有 ...

  8. 心脏滴血漏洞(CVE-2014-0160)分析与防护

    一.漏洞简介 2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBle ...

  9. OpenSSL心脏滴血漏洞(CVE-2014-0160)

    一.漏洞介绍 2014年,互联网安全协议OpenSSL被爆出存在一种十分严重的漏洞. 在黑客社区,被命名为"心脏滴血" ,黑客通过利用该漏洞,可以获取到%30开头的https网站的 ...

  10. OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)

    Heartbleed 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议.它于2012年被引 ...

最新文章

  1. hadoop 1.2.1 安装步骤 伪分布式
  2. eclipse中启动tomcat,不能访问localhost解决办法
  3. 动手实现一个 LRU cache
  4. 设计模式学习之代理模式学习(一)
  5. Kubernetes集群的部署方式及详细步骤
  6. 控制属性修改时间,控制时间,联合主键
  7. heatmap(热图)
  8. anaconda中安装xgboost_在windows64位Anaconda3环境下安装XGBoost
  9. Mysql 两种情况下更新字段中部分数据的方法
  10. 【Vue中的坑】Vue中的修改变量没有效果?
  11. flash json php,php - codeigniter数组json和flashdata - 堆栈内存溢出
  12. Android 登陆界面
  13. SAP中税码、税率、税务科目的几个表及其中的勾稽关系
  14. js将一串数字1607222406转换为日期格式
  15. H5实时上传位置定位 pc生成轨迹;h5保持后台运行
  16. 数组中的元素转成Number或者String---数组map方法
  17. kafka-topics.sh 详细说明
  18. 利用cookie进行模拟登录并且抓取失败
  19. CEC循环生态社区答疑XAG到底有多好的价值前景
  20. 计算机wps系统的造字程序在哪里,Windows10系统自带造字程序在哪?位置介绍

热门文章

  1. 安防巡逻机器人在不同应用场景下的作用是什么?
  2. 计算机房七氟丙烷气体灭火系统设计 施工安,计算机房七氟丙烷气体灭火系统...
  3. 中大计算机考研复试刷人太狠,来!看看这些院校复试刷人刷的有多厉害
  4. python笔记 - urllib模块(二十一)
  5. 认知世界(1)--学与思
  6. 高清视频体验大幅提升,来数数我们应用了哪些新算法
  7. 使用TkMybatis逆向生成带中文注释文件,并使用其常用的方法
  8. 助你掌握搜索神器,10个实用的Elasticsearch查询技巧
  9. Excel匹配两列相同内容到同一行
  10. linux下TC+HTB流量控制