OpenSSL 的公告如下:https://www.openssl.org/news/secadv_20140407.txt
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。
直接輸入 Domain 即可查詢,例如「fbi.gov」。
使用方法直接執行「python ssltest.py ifttt.com」,或是用「-p」指定特定 SSL 連接埠。畫面上會顯示出記憶體資料,可能內含機敏資料例如 private key、session cookie 等。
原始碼如下:
使用方法直接執行「perl check-ssl-heartbleed.pl mail.XXXXXX.gov.tw:443」,可在網域名稱後指定特定 SSL 連接埠。
使用說明:
如果發現自己的伺服器有這樣的漏洞,該怎麼辦呢?
詳細討論與建議可以參考
Heartbleed: What is it and what are options to mitigate it? http://serverfault.com/questions/587329/heartbleed-what-is-it-and-what-are-options-to-mitigate-it
真的會有攻擊者利用這樣的攻擊手法嗎?目前在烏雲 wooyun平台上已經滿滿的資安研究員開始回報網站含有 OpenSSL 漏洞。也有駭客在嘗試撰寫更有效的攻擊利用程式,想要藉此把平常打不下來的網站一舉攻陷。
怎樣的站台會是重點目標呢?含有會員機制的網站特別如此,例如 Web Mail、社群網站等等。因此不少企業要多注意了,例如全世界最大的社群網站 Facebook、SlideShare、台灣知名電信公司網站、社交平台、網路銀行、NAS,都會在這波的攻擊範圍之內。如果沒有儘速修復,等到更有效的攻擊程式出現,就真的等著失血了。
技術發布
20 yıl önce hakkında soru Eğlenmek hiç değildi. Ebeveynlerimiz binlerce eğlence ve aktivite buldu, çünkü o günlerde sosyal ağlar ve YouTube yoktu. Bugünün gençlerinin çok daha fazla fırsatı var ama çok daha az zaman var: çoğumuz büyük yaşıyoruz. şehirler , ve hafta içi sabahtan akşama kadar tüm günler işe/çalışmaya arabayla gitmek, orada olmak ve geri dönmekle meşgul.
Zor bir günün ardından eğlence için ne zaman kaldı ne de enerji. Bu yüzden hafta sonu iki kat aktif ve ilginç geçirilmelidir – sonuçta, herhangi bir psikolog, hiçbir çiftin birlikte vakit geçirmeden uzun süre dayanamayacağını söyleyecektir. Bu nedenle, çiftinizin hayatına renk katacak en iyi fikirlerin bir listesini hazırladık.
PARA OLMAYAN BİR KIZLA TARİH. BİR KIZI ÇEKMEK İÇİN 5 MUHTEŞEM FİKİR. Vastikova