本文详细介绍了2014年的OpenSSL心脏滴血漏洞(HeartBleed),该漏洞存在于OpenSSL 1.0.1到1.0.1f版本,允许攻击者远程读取服务器内存中的敏感信息。讨论了SSL/TLS、DTLS协议以及心跳协议的作用,并提供了利用漏洞的环境搭建、nmap扫描和Metasploit框架的利用方法。
心脏滴血漏洞简述
2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。
利用该漏洞,攻击者可以远程读取服务器内存中64K的数据,获取内存中的敏感信息。
漏洞范围
OpenSSL 1.0.1版本
ssl、tls、dtls介绍
在网络当中中,TCP/IP协议层之上的安全可以由Secure Socket Layer(SSL)及其替代协议Transport Layer Security (TLS)进行保障。这两个协议经常被称作SSL/TLS。HTTP是一个无状态的应用层协议,主要用来在服务器和客户端之间传输数据。HTTPS主要通过在HTTP层和TCP层之间增加了SSL/TLS
最低0.47元/天 解锁文章
扫一扫
4764
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
