还原惊心动魄的“心脏滴血”漏洞!

合天小秘书 发表于:2014-06-04 10:28 阅读数(0人)

2014年4月8日,OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏流血”——代表着最致命的内伤。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。

心脏流血”首先被谷歌(微博)研究员尼尔·梅塔(Neel Mehta)发现,它可从特定服务器上随机获取64k的工作日志,由于数据是随机获取的,所以攻击者也不一定可以获得想要的信息,因此整个过程如同钓鱼, 攻击可能一次次持续进行,大量敏感数据可能泄露。由于一台服务器的密钥也记录在其工作日志中,并且在大量数据中可被轻易辨别,因此将是首当其冲的获取目 标,获取密钥后,攻击者可以掌握某网站或服务的实时流量情况,甚至可以破解被加密的以往流量日志。

OpenSSL此漏洞堪称网络核弹,不光是网银、网购、网上支付、邮箱等众多网站受其影响而且还有很多硬件设备如防火墙vpn等受其影响。无论用户电脑多 么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

一时整个互联网界兵荒马乱!

漏洞爆发一周后,合天网安实验室研究人员将“心脏滴血”漏洞复现并发布到实验库中。

心脏滴血漏洞复现

现在,任何网络安全爱好者都可以随时感受这个漏洞的惊心动魄,尤其是你通过安全协议在和服务器通信时,互联网的另一个角落,一个黑客可以轻而易举的捕获你的所有敏感信息!

网络安全总是需要更多人体验到它的危害,才会诞生安全意识!

相关新闻

大家都在学

课程详情

安全协议应用与分析

课程详情

SQL注入进阶

课程详情

网络安全基础