当用户使用类似于Facebook或Gmail等用户认为安全的网站发送信息时,对端计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应。通过向存在漏洞的目标发送畸形的Heartbeat请求,攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得信用卡密码,私人邮件等有价值的信息。

在程序代码中引入Heartbleed的责任人是德国程序员Robin Seggelmann。2011年新年前夕,他向OpenSSL项目递交了一系列漏洞修正和新增功能,其中一个补丁包含着未对长度变量进行验证的漏洞。代码审查者Stephen Henson在审查代码时也没有注意到这个错误,这个bug随后就被包含在了新版OpenSSL中。
Google安全专家Neel Mehta于2014年4月3日率先提交了针对本漏洞的秘密报告。这个编号为CVE-2014-0160的漏洞随后被提名命名为"HeartBleed"(心脏出血),喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。由于未确认心跳包长度与实际载荷长度匹配,因此当其处理畸形的心跳包时就会将心跳包后的内存区块一同发送给对端,从而导致信息泄漏。该漏洞可以被用于让每个心跳包显示至多64千字节的应用程序内存内容。

OpenSSL心脏出血漏洞相关推荐

  1. OpenSSL“心脏出血”漏洞爆发和修复方法

    2019独角兽企业重金招聘Python工程师标准>>> 4月8日消息,昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞(即OpenSSL"心脏出血"漏洞),该 ...

  2. OpenSSL“心脏出血”漏洞

    OpenSSL"心脏出血"漏洞是一个非常严重的问题.这个漏洞使攻击者能够从内存中读取最多64 KB的数据. AD: 当我分析GnuTLS的漏洞的时候,我曾经说过,那不会是我们看到的 ...

  3. 渗透测试-Openssl心脏出血漏洞复现

    心脏滴血 早在2014年,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞.在黑客社区,它被命名为"心脏出血",表明网络上出现了"致命内伤".利用该漏 ...

  4. 关于OpenSSL“心脏出血”漏洞的分析

    0x00 背景 原作者:Sean Cassidy 原作者Twitter:@ex509 原作者博客:http://blog.existentialize.com 来源:http://blog.exist ...

  5. linux 心脏滴血漏洞,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))...

    心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)),哪吒游戏网给大家带来详细的心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏 ...

  6. 漏洞分析---关于OpenSSL“心脏出血”漏洞的分析

    关于OpenSSL"心脏出血"漏洞的分析 关于出处 原文作者:Sean Cassidy [Twitter:@ex509 ] 原作博客:http://blog.existential ...

  7. 关于 OpenSSL“心脏出血”漏洞的分析

    高危漏洞预警#昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码.用户http原始请求.用户cookie甚至明文帐号密码等,已经 ...

  8. (CVE-2014-0160)OpenSSL 心脏出血漏洞

    (CVE-2014-0160)OpenSSL 心脏出血漏洞 一.漏洞简介 Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为 ...

  9. OpenSSL心脏出血漏洞全回顾

    近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的.据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存 ...

  10. python漏洞检测脚本_一个检测OpenSSL心脏出血漏洞的Python脚本分享

    接自: http://www.jb51.net/article/48858.htm 什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息.网站采用此加密技术后,第三方无法读 ...

最新文章

  1. 一个小网管的淘金梦----深圳往事(4)
  2. [链接]C++和Python版本的委托
  3. 百度语音识别rest html,delphi调用百度语音识别REST API(示例代码)
  4. ***客户端出现“无法完成连接尝试”的解决方法
  5. Java基础11-封装(思想、访问权限、this、构造方法)
  6. 梦断代码阅读笔记之二
  7. RedHat停止维护CentOS!CentOS 创建者发起新项目,刚上线空白项目Star数已破两千
  8. 阿里京东被怼假货泛滥;谷歌 CEO 承认中国版搜索 App 存在;YouTube 全球宕机 | 极客头条...
  9. BUG类算法研究分析
  10. 五、梯度分析与最优化
  11. asp.net gridview 为什么只显示一行数据_为什么中位数(大多数时候)比平均值好
  12. 【测试报告】功能测试范例模板
  13. MySQL曹操外卖项目--数据库设计
  14. [].push.apply(a, b)是什么意思
  15. UnicodeDecodeError: ‘gbk‘ codec can‘t decode byte 0x80 in position 198: illegal multibyte sequence
  16. 员工转正申请书_员工转正申请书优秀范文两篇
  17. php公众号自动回复链接,微信公众号自动回复超链接怎么添加-微信公众号添加自动回复超链接的方法 - 河东软件园...
  18. eclipse “http://mybatis.org/dtd/mybatis-3-config.dtd“>爆红
  19. 国足0-2日本 出线仅存理论可能
  20. 模糊神经网络2--基于ANFIS的混沌时间序列预测

热门文章

  1. 关于yml文件图标为粉红色转成绿色的问题
  2. pycharm中 Make available to all projects的含义
  3. html弹性盒子布局,div+css3弹性盒子(flex box)布局
  4. android和Mac共享文件,这可能是 Mac 共享文件最详细的教程了
  5. Ext.grid.CheckboxSelectionModel 只能选一行,不能全选和多选
  6. 我叫mt4最新服务器,我叫mt4怎么看服务器等级上限 经验上限查看方法详解
  7. 【架构】分布式服务架构与微服务架构
  8. 左倾红黑树的原理及简单实现
  9. Orleans 2.0 官方文档 —— 4.1 Grains - 开发一个Grain
  10. android Wifi连接及检测信号强度