广告位
您的位置 首页 探索

写在互联网“流血事件”48小时后

关于漏洞笔者是48小时前在硅谷著名的科技八卦新闻集散地”YCombinator黑客新闻”上看到这个漏洞的。研究了细节后,发现它确实是前无古人,如同笔者在另一篇文章里提到的:以前房子塌了都是因为建筑本身是豆腐渣工程,而这次我们知道原来脚下的地球也可能是豆腐渣工程,没事会给你来个大地震。之所以安全界人士不吝自己的夸张之词来形容这个漏洞,是因为:1影响范围巨

  关于漏洞

  笔者是48小时前在硅谷著名的科技八卦新闻集散地”Y Combinator黑客新闻”上看到这个漏洞的。研究了细节后,发现它确实是前无古人,如同笔者在另一篇文章里提到的:以前房子塌了都是因为建筑本身是豆腐渣工程,而这次我们知道原来脚下的地球也可能是豆腐渣工程,没事会给你来个大地震。

  之所以安全界人士不吝自己的夸张之词来形容这个漏洞,是因为:

  1 影响范围巨大 – 仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。

  2 易于利用 – 随机获取用户信息,是攻击的第一步,也几乎是最后一步。只要有攻击工具,无需任何专业知识就可以完成。

  3 难于检测 – 攻击所用的心跳包并非是完整的HTTP会话,不会在web server留下日志。

  唯一的幸运是,这个漏洞难以让攻击者精确瞄准指定用户,除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。

  从微博上得知绿盟和知道创宇等安全公司的大牛们昨夜都是彻夜未眠,幕后还有更多的无名黑客在抓紧一年没几次的机会多刷点库。如同每次大的漏洞爆发事件一样,安全人员累觉不爱,小黑客们喜大普奔。

  一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样,在它被慢慢补上并淡出人们视线之前,黑客和安全人员都在抓紧最后的时间进行赛跑。

印度神油  北京时间前天晚上,一条大鱼出现,Yahoo邮箱服务器被证实有漏洞,凌晨时发现已被修补,其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能:从泄露出的内存数据,有可能还原出SSL证书的私钥(虽然目前还没有人证实能做到这一点),这意味着在他们在付出较大代价得到新签发的证书之前,Yahoo网站的SSL加密将失去意义。通俗的说,你将永远不知道提交给Yahoo的密码有没有在传输中被人截获,甚至无法得知正在访问的那个网站是不是Yahoo真身。

  笔者也认为,这种时候就算关闭SSL服务也好过放在那让人攻击,Yahoo这树太大了,多拖一分钟都很危险。

  也许,这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期,有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久?有多少账号,甚至证书私钥泄露了?细思极恐。

  关于攻击代码

  HeartBleed简单的利用手法决定了它可以写脚本来自动化,北京时间昨天凌晨,Mustafa在Github上发布了批量扫描工具,作为目标的1000个大网站中,Yahoo,Sogou等中招。

本文来自网络,不代表【网通传奇私服】-SF123.com立场,转载请注明出处:https://www.szhpig.com/%e5%86%99%e5%9c%a8%e4%ba%92%e8%81%94%e7%bd%91%e6%b5%81%e8%a1%80%e4%ba%8b%e4%bb%b648%e5%b0%8f%e6%97%b6%e5%90%8e/
广告位

作者: sf999

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

联系我们

租站QQ:1933332277

在线咨询: QQ交谈

邮箱: [email protected]

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部