一个p2p平台,一次内部安全事件的处理过程,一个关乎投资人利益的网络投资平台,一个无知者无畏的年代。口口声声对外宣称安全、可靠、高收益、……

[步骤]

1、对应用https的系统进行ssl协议已公开漏洞进行扫描
2、发现当前系统存在心脏滴血漏洞

[结果]

该漏洞可以直接泄漏内存信息,在本系统中泄露使用ssl协议系统的操作内存数据

如:用户登录信息

[期望]

对该漏洞进行修补

附件
历史记录
2016-03-16 21:57:22, 由 xxx 创建。

2016-03-17 09:56:01, 由 xx 确认Bug。

线上系统是存在openssl版本较低的情况,但出于对系统稳定和应用稳定的角度考虑以及参考阿里云云盾的分析。对此问题暂不予以解决。
涉及到的问题:
第一:更新openssl需要相关的服务重启,影响全部线上业务
第二:对于此openssl版本较低引起的心脏滴血漏洞阿里云云盾并未检测到
第三:此心脏滴血漏洞涉及不到对数据库和服务器安全构成威胁

2016-04-02 02:57:59, 由 xx 解决,方案为 延期处理。

线上系统是存在openssl版本较低的情况,但出于对系统稳定和应用稳定的角度考虑以及参考阿里云云盾的分析。对此问题暂不予以解决。
涉及到的问题:
第一:更新openssl需要相关的服务重启,影响全部线上业务
第二:对于此openssl版本较低引起的心脏滴血漏洞阿里云云盾并未检测到
第三:此心脏滴血漏洞涉及不到对数据库和服务器安全构成威胁

2016-04-05 18:46:28, 由 xxx 激活。

不予解决的三个理由我不赞成,再次激活该bug是以安全的角度考虑的,你可以再次回复不予解决。
1、任何一次小的迭代上线都会影响全部线上业务,所以此理由不成立
2、阿里云没有检测到不代表不存在安全风险,所以此理由不成立
3、不对数据库和服务器构成安全威胁就不予解决,此回答太过轻浮,也是对投资用户的不负责
总结:因为该bug可以随机性泄漏内存中的64k信息,可以通过手工快速或脚本的方式进行内存信息获取,理论可以获取所有重要的信息,包括openvpn中的证书信息,进而控制服务器或数据库,而获取用户信息只是最简单的利用方式及危害展示,请对安全给予足够的重视和专业的审核态度。

另:我已通过该bug获取过线上不止10人的信息,并登录成功个人帐户,同时该平台提交过多处的明文信息的小bug,也同样被同时回复不予解决,结合该bug,我已获取多个人的账户、密码、手机号、身份证号、银行卡号,该结果可否提高你对该bug的重视!!!

一次心脏滴血漏洞的bug处理过程相关推荐

  1. “心脏滴血”漏洞复现

    "心脏滴血"简介: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64KB缓存.将超 ...

  2. 心脏滴血漏洞利用(CVE-2014-0160)

    0x00 前置知识 心脏滴血漏洞复现(CVE-2014-0160) - 知乎 1.心脏滴血简介 心脏出血漏洞"是指openssl这个开源软件中的一个漏洞,因为该软件使用到一个叫做heartb ...

  3. 心脏滴血漏洞复现(CVE-2014-0160)

    漏洞范围: OpenSSL1.0.1版本 漏洞成因: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64 ...

  4. “心脏滴血漏洞”测评经验分享

    "心脏滴血漏洞"测评经验分享 1 前言 1.1 编写目的 经验分析贴,赚C币买文章: 1.2 读者对象 本文档读者对象为:测评相关工程师.项目管理者.测试工程师.质量管理人员.文档 ...

  5. 【web攻防】破壳漏洞【CVE-2014-6271】与心脏滴血漏洞 【CVE-2014-0160】 docker 复现 学习过程

    其实最近的确是想更新一些文章的,但一直在忙于挖洞和挖洞技巧学习,前者肯定不能发真实案例,后者学的太零碎太杂,自己也处于一个积累的过程,发一些边边角角的内容也没意思. 虽然相比以前的确有了一点进步,但我 ...

  6. 心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析

    前几天有人问我你不是看过openssl吗?那聊聊openssl漏洞,当时我一脸迷茫.我说我知道著名的心脏滴血漏洞,但是具体漏洞是什么原因导致的没有回答上来.对于自诩看过openssl源码的人,我觉得有 ...

  7. OpenSSL心脏滴血漏洞(CVE-2014-0160)

    一.漏洞介绍 2014年,互联网安全协议OpenSSL被爆出存在一种十分严重的漏洞. 在黑客社区,被命名为"心脏滴血" ,黑客通过利用该漏洞,可以获取到%30开头的https网站的 ...

  8. 心脏滴血漏洞(CVE-2014-0160)

    心脏出血漏洞(CVE-2014-0160) 利用范围 漏洞编号: CVE-2014-0160 发现人员: 安全公司Codenomicon和谷歌安全工程师 漏洞简述: OpenSSL Heartblee ...

  9. 心脏滴血漏洞(CVE-2014-0160)分析与防护

    一.漏洞简介 2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBle ...

最新文章

  1. AI一分钟|腾讯与三星结盟,以对抗苹果和谷歌;亚马逊回应“AI误将国会议员标记为罪犯”...
  2. Django中配置自定义日志系统
  3. RMAN删除归档日志不释放问题
  4. 热门搜索怎么实现_三个步骤教你学会,搜索引擎霸屏技术!
  5. java模型给泛型_【一天一个基础系列】- java之泛型篇
  6. android build.time,Android SDK中的恒定Build.TIME
  7. SYSTEM32 下的几乎所有文件的简单说明
  8. DELPHI基础教程 第二章 Delphi面向对象的编程方法
  9. 基于jQuery的响应式网站视频插件FitVids.js
  10. CAN总线学习总结2——CAN错误及CAN busoff处理机制
  11. 三流领导管下级,二流领导管同级,一流领导管......
  12. char[]和char* 输出长度不同
  13. 编写一个 SQL 查询来实现分数排名
  14. Spring JPA 随手记
  15. java解压缩zip、rar
  16. 《变形金刚》编年史『经典文章变形金刚迷们必看』
  17. 二维等离子体输运与反应动力学求解器PASSKEy中的数值和物理参数说明(附视频链接)
  18. 2018年中国游戏行业发展现状及发展前景分析
  19. 基于SSH开发网上蛋糕店(甜品)购物商城系统(前台+后台)
  20. 【转载】基于ENVI bandmath的地表温度反演

热门文章

  1. 线性代数学习笔记11-2:总复习Part2(相似对角化、对称矩阵、奇异值分解SVD)
  2. 文字转语音 两种方法:TextToSpeech、科大讯飞
  3. 计算机 发声原理,终于懂得麦克风的发声原理是什么
  4. 恢复VMware误删虚拟机
  5. CAD绘制区域覆盖对象
  6. python大数据计算_大数据计算平台 python
  7. SDNU_ACM_ICPC_2019_Winter_Practice_9th题解
  8. 谷粒商城-商城业务(商品上架)
  9. 床帘机器人_“拉窗帘”机器人惊现中国,而未来中国机器人的发展,绝不止这些...
  10. 赵雅智_名片夹(5)_Android中listview可折叠伸缩仿手风琴效果(动态)