linux 心脏滴血漏洞,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))...
心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)),哪吒游戏网给大家带来详细的心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))介绍,大家可以阅读一下,希望这篇心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))可以给你带来参考价值。
heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2020-0160 漏洞 (心脏出血漏洞)。
什么是心脏出血漏洞?
CVE-2020-0160,心脏出血漏洞,是一个非常严重的 OpenSSL 漏洞。这个漏洞使得攻击者可以从存在漏洞的服务器上读取64KB大小的内存信息。这些信息中可能包含非常敏感的信息,包括用户请求、密码甚至证书的私钥。
据称,已经有攻击者在某宝上尝试使用漏洞读取数据,在读取200次后,获取了40多个用户名和7个密码。
如何使用 heartbleeder 检测心脏出血漏洞?安装
可以在gobuild.io玩法攻略介绍编译好的二进制文件的压缩包。包括Windows、Linux、MacOSX。
由于服务器操作系统最常用的是Linux,因此这里提供一下玩法攻略介绍Linux二进制压缩包的命令:
Linux(amd64)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/amd64 -O output.zip
Linux(i386)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/386 -O output.zip
玩法攻略介绍后解压缩即可。
也可以自行编译安装(Go版本需在1.2以上), 使用如下命令:
go get github.com/titanous/heartbleeder
二进制文件会放置在 $GOPATH/bin/heartbleeder。
使用
$ heartbleeder example.com
INSECURE - example.com:443 has the heartbeat extension enabled and is vulnerable
Postgres 默认在 5432 端口使用 OpenSSL,如果你使用Postgres服务器,则需使用如下命令:
$ heartbleeder -pg example.com
SECURE - example:5432 does not have the heartbeat extension enabled
如何手工检测心脏出血漏洞
如果不方便安装heartbleeder,或者不放心自动检测的结果心脏出血漏洞,也可以手动检测。
首先判断服务器上的Openssl版本是否是有漏洞的版本。目前有漏洞的版本有: 1.0.1-1.0.1f(包含1.0.1f)以及 1.0.2-beta。你可以使用如下的命令查看服务器上的当前版本:
openssl version
接着你需要判断是否开启了心跳扩展:
openssl s_client -connect 你的网站:443 -tlsextdebug 2>&1| grep 'TLS server extension "heartbeat" (id=15), len=1'
如果以上两个条件你都满足的话,很遗憾,你的服务器受此漏洞影响,需要尽快修复。
如何修复将受影响的服务器下线,避免它继续泄露敏感信息。停止旧版的 openssl 服务,升级 openssl 到新版本,并重新启动。生成新密钥。(因为攻击者可能通过漏洞获取私钥。)将新密钥提交给你的CA心脏出血漏洞,获得新的认证之后在服务器上安装新密钥。服务器上线。撤销旧认证。撤销现有的会话cookies。要求用户修改密码。
编撰 SegmentFault
总结:以上内容就是针对心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))详细阐释,如果您觉得有更好的建议可以提供给哪吒游戏网小编,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))部分内容转载自互联网,有帮助可以收藏一下。
linux 心脏滴血漏洞,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))...相关推荐
- linux心跳出血漏洞,heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)
heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2014-0160 漏洞 (心脏出血漏洞). 什么是心脏出血漏洞? CVE-2014-0160,心脏出血漏洞,是一个非常严 ...
- python漏洞检测脚本_一个检测OpenSSL心脏出血漏洞的Python脚本分享
接自: http://www.jb51.net/article/48858.htm 什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息.网站采用此加密技术后,第三方无法读 ...
- linux服务器宕机原因排查,Linux服务器中网站数据库宕机的自动检测及重启脚本...
最近一段时间,Linux服务器中的一个重要网站的数据库总是奔溃,导致网站无法正常访问(显示为网站正在维护中),于是就决定写个脚本来自动监控这个网站是否正常,如果发现网站宕机,则自动重启数据库和网站. ...
- 渗透测试-Openssl心脏出血漏洞复现
心脏滴血 早在2014年,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞.在黑客社区,它被命名为"心脏出血",表明网络上出现了"致命内伤".利用该漏 ...
- 心脏滴血漏洞复现(CVE-2014-0160)
漏洞范围: OpenSSL1.0.1版本 漏洞成因: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64 ...
- 升级openssl版本修复高危漏洞——“OpenSSL红色警戒”漏洞
背景: 近日OpenSSL官方发布了一个影响广泛的远程匿名拒绝服务漏洞(漏洞代号:SSL Death Alert",漏洞编号:CVE-2016-8610) ,即"OpenSSL红色 ...
- LINUX检测服务并自动运行,一种Linux下的开机自动检测硬件信息的方法与流程
技术领域本发明涉及服务器开机检测技术,具体的说是一种Linux下的开机自动检测硬件信息的方法. 背景技术: 服务器产品研发初期,产品多为工程样本,问题很多,这些问题中硬件问题占较大部分.在工程验证测试 ...
- 心脏滴血漏洞利用(CVE-2014-0160)
0x00 前置知识 心脏滴血漏洞复现(CVE-2014-0160) - 知乎 1.心脏滴血简介 心脏出血漏洞"是指openssl这个开源软件中的一个漏洞,因为该软件使用到一个叫做heartb ...
- 【web攻防】破壳漏洞【CVE-2014-6271】与心脏滴血漏洞 【CVE-2014-0160】 docker 复现 学习过程
其实最近的确是想更新一些文章的,但一直在忙于挖洞和挖洞技巧学习,前者肯定不能发真实案例,后者学的太零碎太杂,自己也处于一个积累的过程,发一些边边角角的内容也没意思. 虽然相比以前的确有了一点进步,但我 ...
最新文章
- 修改文档框架:word-多级列表与标题样式相结合
- Linux Kernel5.10的核间通信(SGI中断)的本质
- 豆瓣9.2!为什么这款剧最能打动大家?真相都在数据里!
- Oracle顶级认证OCM考试实战总结
- Unity 动画属性
- 4pics1word android,4 Pics 1 Word
- php curl 发送post请求带参数
- RTM-DSP项目总结
- SnowNLP——SnowNLP是什么及SnowNLP的使用示例
- 手机wps可以写html吗,如何在手机版WPS Office文档中插入文本框
- 计算机学院毕业礼物,史上最全毕业礼物攻略,绝对不能错过!
- mybatis源码解析(二)解析SqlSession下的四大对象(Executor、StatementHandler、ParameterHandler和ResultSetHandler)和插件使用
- 更新下来的vue项目如何跑起来
- 转:阿里智能音箱天猫精灵发布,联发科成了背后大赢家
- 【算力网络】算力网络的技术创新——绿色与安全关键技术
- win7上安装DDK,SDK。。
- 雨林木风 Ghost XP SP2 精简版 Y2.0
- Android开发局域网通信软件笔记
- excel显著性检验_《如何利用Excel对所得数据进行显著性分析?》 excel怎么做方差齐性检验...
- Carson带你学Android:图文详解RxJava背压策略
热门文章
- [西门子/博途]关于FC5/50,FC6/60的一些经验坑
- 【LorMe云讲堂】徐凌:利用全基因组促进可持续农业
- 天堂祭祀php,test_《扶摇柳真真免费阅读》
- Extjs GridPanel 常用属性总结
- DaisyDisk for Mac(mac磁盘清理软件)
- 奇志思达-微网站前端规则建议
- SPA SEO SSR三者有什么区别
- 最详细最简单:最大公因数求法、辗转相除法、更相减损法,入门ACM,杭电水题,算法递归,初级算法题一看就懂
- GP232RL:国产USB转串口/UART芯片替代FT232RL
- 【概率论】5-2:伯努利和二项分布(The Bernoulli and Binomial Distributions)