360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2823|回复: 0
打印 上一主题 下一主题

OpenSSL漏洞分析与利用方法详解

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 11:35:47 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


CVE-2014-0160漏洞背景
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),此次漏洞问题存在于ssl/dl_both.c文件中。OpenSSLHeartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
OpenSSL受影响和不受影响版本
对此我们给出如下建议
最新版本升级地址为:https://www.openssl.org/source/. (OpenSSL官方)
分析与验证
在该漏洞发布的第一时间我们对此漏洞进行了分析与验证是否能够获取一些敏感信息。漏洞发布的同时攻击可利用的脚本也已经在网络中流传。下面漏洞利用脚本的下载地址:
http://filippo.io/Heartbleed/ (web测试页面)
http://s3.jspenguin.org/ssltest.py  (python脚本)
http://pan.baidu.com/s/1nt3BnVB  (python脚本)
通过网络中已有的测试方法,我们对存在问题的几个网站进行测试,分析确定该漏洞确实可被攻击者拿到一些敏感信息。测试过程如下:
apply.szsti.gov.cn  (测试时间为2014-04-09 02:00)
my-card.in               (测试时间为2014-04-09 02:00)
www.shuobar.cn     (测试时间为2014-04-0902:00)
gitcafe.com            (测试时间为2014-04-09 02:00)
fengcheco.com       (测试时间为2014-04-0902:00)
获取回来的敏感信息截图如下:

获取敏感信息有内网IP地址、路径等。

获取敏感信息有APP信息、cookie信息和用户名信息等

获取敏感信息是手机号码等。

获取敏感信息是QQ信箱和密码等。
测试的地址如是一些交易、证券、银行等,是可以获取到更多的敏感信息。在次提醒广大用户近早更新您的OpenSSL的版本或是根据我们的建议进行处理。
网络检测Snort规则

alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)

此次漏洞主要针对443端口的SSL协议。回包在16385字节,此规则是一个通用规则。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-23 08:57 , Processed in 0.076928 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表