一次心脏滴血漏洞的bug处理过程
一个p2p平台,一次内部安全事件的处理过程,一个关乎投资人利益的网络投资平台,一个无知者无畏的年代。口口声声对外宣称安全、可靠、高收益、……
[步骤]
1、对应用https的系统进行ssl协议已公开漏洞进行扫描
2、发现当前系统存在心脏滴血漏洞
[结果]
该漏洞可以直接泄漏内存信息,在本系统中泄露使用ssl协议系统的操作内存数据
如:用户登录信息
[期望]
对该漏洞进行修补
附件
历史记录
2016-03-16 21:57:22, 由 xxx 创建。
2016-03-17 09:56:01, 由 xx 确认Bug。
线上系统是存在openssl版本较低的情况,但出于对系统稳定和应用稳定的角度考虑以及参考阿里云云盾的分析。对此问题暂不予以解决。
涉及到的问题:
第一:更新openssl需要相关的服务重启,影响全部线上业务
第二:对于此openssl版本较低引起的心脏滴血漏洞阿里云云盾并未检测到
第三:此心脏滴血漏洞涉及不到对数据库和服务器安全构成威胁
2016-04-02 02:57:59, 由 xx 解决,方案为 延期处理。
线上系统是存在openssl版本较低的情况,但出于对系统稳定和应用稳定的角度考虑以及参考阿里云云盾的分析。对此问题暂不予以解决。
涉及到的问题:
第一:更新openssl需要相关的服务重启,影响全部线上业务
第二:对于此openssl版本较低引起的心脏滴血漏洞阿里云云盾并未检测到
第三:此心脏滴血漏洞涉及不到对数据库和服务器安全构成威胁
2016-04-05 18:46:28, 由 xxx 激活。
不予解决的三个理由我不赞成,再次激活该bug是以安全的角度考虑的,你可以再次回复不予解决。
1、任何一次小的迭代上线都会影响全部线上业务,所以此理由不成立
2、阿里云没有检测到不代表不存在安全风险,所以此理由不成立
3、不对数据库和服务器构成安全威胁就不予解决,此回答太过轻浮,也是对投资用户的不负责
总结:因为该bug可以随机性泄漏内存中的64k信息,可以通过手工快速或脚本的方式进行内存信息获取,理论可以获取所有重要的信息,包括openvpn中的证书信息,进而控制服务器或数据库,而获取用户信息只是最简单的利用方式及危害展示,请对安全给予足够的重视和专业的审核态度。
另:我已通过该bug获取过线上不止10人的信息,并登录成功个人帐户,同时该平台提交过多处的明文信息的小bug,也同样被同时回复不予解决,结合该bug,我已获取多个人的账户、密码、手机号、身份证号、银行卡号,该结果可否提高你对该bug的重视!!!
一次心脏滴血漏洞的bug处理过程相关推荐
- “心脏滴血”漏洞复现
"心脏滴血"简介: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64KB缓存.将超 ...
- 心脏滴血漏洞利用(CVE-2014-0160)
0x00 前置知识 心脏滴血漏洞复现(CVE-2014-0160) - 知乎 1.心脏滴血简介 心脏出血漏洞"是指openssl这个开源软件中的一个漏洞,因为该软件使用到一个叫做heartb ...
- 心脏滴血漏洞复现(CVE-2014-0160)
漏洞范围: OpenSSL1.0.1版本 漏洞成因: Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查.攻击者可以追踪OpenSSL所分配的64 ...
- “心脏滴血漏洞”测评经验分享
"心脏滴血漏洞"测评经验分享 1 前言 1.1 编写目的 经验分析贴,赚C币买文章: 1.2 读者对象 本文档读者对象为:测评相关工程师.项目管理者.测试工程师.质量管理人员.文档 ...
- 【web攻防】破壳漏洞【CVE-2014-6271】与心脏滴血漏洞 【CVE-2014-0160】 docker 复现 学习过程
其实最近的确是想更新一些文章的,但一直在忙于挖洞和挖洞技巧学习,前者肯定不能发真实案例,后者学的太零碎太杂,自己也处于一个积累的过程,发一些边边角角的内容也没意思. 虽然相比以前的确有了一点进步,但我 ...
- 心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析
前几天有人问我你不是看过openssl吗?那聊聊openssl漏洞,当时我一脸迷茫.我说我知道著名的心脏滴血漏洞,但是具体漏洞是什么原因导致的没有回答上来.对于自诩看过openssl源码的人,我觉得有 ...
- OpenSSL心脏滴血漏洞(CVE-2014-0160)
一.漏洞介绍 2014年,互联网安全协议OpenSSL被爆出存在一种十分严重的漏洞. 在黑客社区,被命名为"心脏滴血" ,黑客通过利用该漏洞,可以获取到%30开头的https网站的 ...
- 心脏滴血漏洞(CVE-2014-0160)
心脏出血漏洞(CVE-2014-0160) 利用范围 漏洞编号: CVE-2014-0160 发现人员: 安全公司Codenomicon和谷歌安全工程师 漏洞简述: OpenSSL Heartblee ...
- 心脏滴血漏洞(CVE-2014-0160)分析与防护
一.漏洞简介 2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBle ...
最新文章
- 谷歌机器智能大牛:AI模型要真正理解人类语言,关键是「序列学习」
- bleve搜索引擎源码分析之索引——mapping和lucene一样,也有_all
- 增强for循环、Map接口遍历、可变參数方法
- iOS开发之解决系统数字键盘无文字时delete键无法监听的技巧
- php输出学生成绩foreach,PHP中foreach输出值不正确
- 3,进程间通信IPC机制,线程,线程通信,互斥锁
- 计算机开题报告参考文献,开题报告中参考文献.docx
- 编写10ms延时的子程序c语言,求解!!!用汇编语言编写延时程序问题!!!!...
- 苹果Mac时间日程管理工具:Things 备注支持 Markdown
- Linux查询命令帮助语句,linux有关命令的帮助和用法查看
- python之scipy
- #python 颜色聚类处理
- MATLAB2016笔记(六):数据可视化
- java jni so_java 用jni调用so全过程
- 概率图模型和马尔可夫模型
- C语言输出大写金额,人民币大写输出(C语言)
- android root写入文件,android中root用户无法往某些目录写入文件解决方法
- root 存档位置 linux,Linux 档案与目录管理(转)
- C# 微信企业号--发送消息
- Android打开系统设置界面