heartbleed_Heartbleed:这是什么,您应该怎么做?

最新推荐文章于 2024-05-28 13:56:45 发布
最新推荐文章于 2024-05-28 13:56:45 发布
阅读量176 收藏
点赞数
文章标签: java 安全 数据库 linux python

如果您在新闻源中看到一个红色的,空心的,滴落的心脏符号,那么可以,您可能已经听说过影响Internet最新安全漏洞:Heartbleed 。 危害Yahoo,Facebook甚至加拿大税务局等网站的帐户安全性的安全漏洞使整个Internet倍受威胁。 您可能已经被要求更改电子邮件,在线帐户等的密码 ,但是请耐心等待。

但是,在所有这些信息中,很难准确地了解正在发生的事情。 到底什么是Heartbleed? 真的像所有人所说的那样危险吗? 您如何确定自己是否受到影响? 快速浏览有关Heartbleed的一些主要问题以及您可以采取的措施。

什么是流血?

Heartbleed是影响OpenSSL服务错误,该服务是一个加密库,用于对Internet上超过三分之二的网站上的数据进行加密。 如果您曾经在浏览器中看到锁定的挂锁徽标,或者使用https:协议访问过站点,那么您就熟悉OpenSSL。

心伤能做什么

Heartbleed错误暴露了保存在服务器RAM中的数据 ,这意味着几乎任何人都可以访问,并且可以窥探Internet流量 ,即使据说该数据已经加密也是如此。

闯入者(如果有的话)可以利用Heartbleed获得解密和读取最近通过服务器传递的所有加密数据所需的密钥和数据。

这是个问题吗?

考虑到互联网上超过三分之二的网站和服务都使用OpenSSL,是的, Heartbleed是一个很大的问题 。 但是,请切记,Heartbleed 并非恶意软件或病毒 ,因此受Heartbleed影响的网站可能不一定有任何数据被盗。 自2012年以来,它就一直未被发现。

几乎所有形式的个人加密信息都容易受到Heartbleed的攻击。 只要它通过OpenSSL协议,就有可能非法访问它。 密码,电子邮件,用户名,通信-随便你说,由于Heartbleed,它可能以某种形式或其他形式可以访问。

所以,是的,这是一个问题。

如何判断您是否受到影响

确实,并非每项服务都受到Heartbleed的影响,但是安全起来总比对不起好 。 虽然您不能确定自己的数据是否遭到破坏,但是有一些服务可以帮助您检查自己是否受到 Heartbleed的影响

此Heartbleed测试将畸形的心跳发送到您选择的网站,提取大约80个字节的内存作为证明。 换句话说,该测试非常像黑客那样攻击网站 ,以测试该网站是否容易受到Heartbleed的攻击。

菲利波心脏出血测试

LastPass团队还为您提供了一个工具来检查受影响的站点。 您所要做的就是输入要检查的网站的域,然后单击“ 查看该网站是否容易受到Heartbleed的攻击”

LastPass Heartbleed Checker
如果您受到影响该怎么办

如果通过检查发现您在某个网站上拥有一个可能被Heartbleed盗用的帐户,则必须决定采取何种措施。 普遍的看法是立即更改您的密码,但是此建议忽略了一个关键事实: 如果网站未修复,则更改密码毫无意义

如前所述,Heartbleed不是简单的数据库泄漏,因此, 如果网站未解决问题 ,仅更改密码将无济于事。 某些网站和服务(例如Google)会明确指出这一点,但是肯定会有一些网站没有明确说明他们是否最终解决了该问题。

GitHub列表

现在,您可以使用上面列出的两个工具中的任一个 ,或者在“可混搭”列表中查看该站点,以查看该服务是否仍然容易受到攻击。

请注意,这两个工具和GitHub列表并未区分从不脆弱的服务和已修复的服务。 如果该站点报告为不易受攻击,则更改密码可能更安全。

仅仅中断受影响的服务也可能有所帮助,因为Heartbleed仅公开服务器RAM中的数据。

密码安全

虽然Heartbleed 不仅解决了密码安全性问题 ,但仍然是时候提醒自己一些确保在线帐户安全的最佳方法。 是的,密码安全不仅限于每几个月更改一次密码。

尽管双重身份验证不一定能保护您免受Heartbleed的侵害,但这仍然是一个很好的安全措施,您绝对应该在支持它的任何服务上利用它。

两方面认证

如果您不熟悉,两要素身份验证是一种基于两个步骤而不是一个步骤来验证用户身份的方法。 换句话说,两因素身份验证不仅要求输入用户名和密码,还要求您键入验证码使用智能手机应用程序进一步验证您的身份。

您可能应该采取的另一种安全措施是使用工具为您生成和管理密码 。 这些工具的主要优点是它们将创建随机密码并为您管理它们。 不再需要记住大量不同的密码,甚至不必在多个网站上使用相同的密码。

密码生成器
结论

Heartbleed是一个严重的安全问题, 几乎会影响Internet上的每个人 ,而我们每个人对此无能为力。 除了检查我们使用的服务并更改密码(如果它们已修复该缺陷)或休息一下并保持警惕(如果尚未修改)之外,这实际上完全在服务器管理员手中。 如果有的话,Heartbleed可以提醒我们,我们永远不能认为我们的个人数据安全


翻译自: https://www.hongkiat.com/blog/everything-about-heartbleed/

cune1359
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
心脏滴血复现 CVE-2014-0160
m0_46580995的博客
07-23 245
心脏出血漏洞(CVE-2014-0160) 复现环境vulhub 两种方式进行检测 在线https://filippo.io/Heartbleed 使用msf的au模块进行扫描 启动docker 启动msf查找CVE-2014-0160 使用第一个敏感信息泄露的扫描模块
Heartbleed心脏出血漏洞靶场搭建
fly小灰灰的专栏
01-12 6181
1. 简介   OpenSSL心脏出血漏洞原理是OpenSSL引入心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有边界检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器也可以是客户端)内存中的一些数据。    所以针对本次漏洞的检测,我需要在虚拟机中搭建一个通过https安全协议的数
heartbleed
llllliuchang的博客
04-27 618
这里写自定义目录标题 一、漏洞原理分析 1.Openssl漏洞背景 2014年4月7日,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。它被命名为“心脏出血”,表明网络上出现了“致命内伤”。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。另外,该漏洞不仅是涉及到https开头的网址,还包含间接使用了OpenSSL代...
armitage攻击没有attack_什么是Heartbleed攻击?
weixin_39942108的博客
11-24 115
黑客笔记 本期live互动、答疑相关问题归档(有视频):Heartbleed攻击防范概述Heartbleed是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层(TLS)协议.它于2012年被引入了软件中,2014年4月首次向公众披露.只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击.此问题的原因是在实现TLS的心跳协议时没有对输...
Heartbleed(心脏出血漏洞) - CVE-2014-0160
最新发布
HaSaKing的博客
05-28 372
在2014年,网络安全界发现了一个名为心脏出血(Heartbleed)的严重安全漏洞,正式编号为CVE-2014-0160。这个漏洞震动了整个互联网,因为它影响到了广泛使用的OpenSSL加密库,该库是保护互联网通信安全的关键组件。本文旨在详细解释心脏出血漏洞的工作原理,它的影响,以及我们如何可以防止此类漏洞再次发生。
关于“心脏出血”漏洞(heartbleed)的理解
weixin_30685029的博客
07-22 354
前阵子“心脏出血”刚发生的时候读了下源代码,给出了自己觉得比较清楚的理解。 -------------------------穿越时空的分割线--------------------------- 参考:http://drops.wooyun.org/papers/1381 这个问题出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后...
patch-openssl-CVE-2014-0160:使用 ansible 修补 openssl #heartbleed
07-09
使用 ansible 修补 openssl #heartbleed 用法 : pip install ansible ansible-playbook -i your_inventory_file patch-openssl-CVE-2014-0160.yml your_inventory_file 只需要包含您的服务器列表: 192.168....
【漏洞分析】OpenSSL HeartBleed漏洞分析及POC代码
Walter的专栏
06-12 4348
CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏
Heartbleed bug
koko2015c的博客
02-23 2120
该漏洞被归为缓冲过度读取。缓冲过度读取错误是软件可以读取比应该被允许还多的数据。
OpenSSl HeartBleed 漏洞分析及验证
yd0str
04-17 3148
前段时间写的漏洞的分析报告
心脏出血(Heartbleed)漏洞浅析、复现
qq_29365787的博客
07-07 3296
一、漏洞介绍 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还
心脏滴血漏洞(Heartbleed):网络安全的致命威胁
博客
09-02 1451
心脏滴血漏洞是由于OpenSSL库中的一个缺陷造成的。OpenSSL是一个广泛使用的加密库,用于保护网络通信的安全性。心脏滴血漏洞的存在使得攻击者可以在未经授权的情况下访问服务器内存中的敏感信息,如私钥、用户名和密码等。这个漏洞的影响范围非常广泛,几乎所有使用OpenSSL的服务器都受到了影响。据估计,超过50%的互联网服务器受到了心脏滴血漏洞的威胁。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一组用于保护网络通信的加密协议。
Heartbleed心脏出血漏洞原理分析
热门推荐
fly小灰灰的专栏
01-14 2万+
1. 概述   OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。2. 数据包分析   SSL(Secur
关于HeartBleed漏洞的总结
马赛克的博客
03-23 7325
一:前言 HeartBleed漏洞又称为心脏出血漏洞,编号(CVE-2014-0160),产生原因:由于未能在memcpy()调用受害用户输入的内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSl所分配的64KB内存,将超出必要范围的字节信息复制到缓存当中,再返回缓存内容,这样一来,受害者的内存内容就会每次泄露64KB. 简单来说,这就是OpenSSL缺陷造成的漏洞 二:环境...
HeartBleed漏洞详解与利用
谨慎对事 低调行事 0与1的世界 浩瀚如海 学无止境
06-02 4486
看一下流传的Python利用脚本。 #!/usr/bin/python # Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org) # The author disclaims copyright to this source code.
心脏出血漏洞利用
春日野穹
04-09 3773
0x0引言~ 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),...
Heartbleed漏洞的复现与利用
biziwaiwai的博客
02-13 5218
一、      1.Heartbleed漏洞是什么Openssl在处理心跳包的时候检测漏洞,没有检测payload与实际的数据字段是否匹配,造成最大64KB的内存泄漏2.基本背景和影响OpenSSL是SSL协议以及一系列加密算法的开源实现,使用C语言编写。OpenSSL采用Apache开源协议,可以免费用于商业用途,在很多linux发行版和服务器中得到广泛应用。OpenSSL出现漏洞造成的影响是巨...
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
qq_50854662的博客
08-15 2058
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
linux心跳出血漏洞,heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)
weixin_29111953的博客
05-16 360
heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2014-0160 漏洞 (心脏出血漏洞)。什么是心脏出血漏洞?CVE-2014-0160,心脏出血漏洞,是一个非常严重的 OpenSSL 漏洞。这个漏洞使得攻击者可以从存在漏洞的服务器上读取64KB大小的内存信息。这些信息中可能包含非常敏感的信息,包括用户请求、密码甚至证书的私钥。据称,已经有攻击者在某宝上尝试使用漏洞...
通过Heartbleed这一安全案例我们需要注意什么
06-10
通过Heartbleed这一安全案例,我们需要注意以下几点: 1. 及时更新软件和补丁:Heartbleed漏洞是由于OpenSSL加密库中存在的缺陷导致的,因此及时更新软件和补丁是防止类似漏洞的一种重要方式。 2. 加强加密和认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值