SSL/TLS的Heartbeat 扩展

最新推荐文章于 2024-06-12 17:47:01 发布
最新推荐文章于 2024-06-12 17:47:01 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: 文章标签: openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxb1223/article/details/35276179
版权
本文深入探讨了Heartbleed漏洞,该漏洞源于OpenSSL TLS Heartbeat扩展的实现错误,允许攻击者获取服务器内存中的敏感信息。内容涵盖了SSL/TLS协议的基本流程,Heartbeat协议的工作原理,以及漏洞发生的代码分析,并介绍了OpenSSL 1.0.1g版本的修复措施。
摘要由CSDN通过智能技术生成

 4月8号,公开的Heartbeat 漏洞,对于这个漏洞听说是今天以来最大漏洞,可以获得服务器内存最多64KB数据,可能包括私人重要的信息。自己也对这个漏洞感兴趣,之后就做了这面的了解,并在漏洞修补之前,用openssltest.py进行了测试,在有漏洞的网站,真的可以获得……………………    下面是通过资料,对其中涉及到的原理,和查看openssl源代码做了简要的分析。

 

 

 

本文主要从下面几个点讲解:

1Heartbleed漏洞及漏洞发生的原因

2SSL/TLS/DTLS协议简单的认识

3TLS的扩展Heartbeat协议认识

4heartbeat协议实现代码解读

5、实现一个网站支持SSL协议(生成一个伪证书)

 

 

 

1Heartbleed漏洞及漏洞发生的原因

 

Heartbleed漏洞藏身于OpenSSLTLS Heartbeat扩展当中:这是一项持续作用型功能,其中一个连接端会向另一端发送任意数据的有效负载,对方则发回对应数据的精确副本以确保传输过程一切正常。而在实现这个过程中,由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

网上资料显示在

最低0.47元/天 解锁文章
默默上游
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zmq源码学习,源码版本4.3.3
01-15
虽然ZMQ默认不提供加密和认证功能,但可以与其他安全库结合使用,如使用SSL/TLS进行加密通信,或者通过添加自定义的身份验证插件来增强安全性。 7. **扩展性**: ZMQ设计为可扩展,支持多种编程语言,包括C、C++...
SSLTLS协议与OpenSSL "心血"heartbleed漏洞之伤
weixin_33971130的博客
04-10 471
一声惊雷,今天爆出了一个关于SSL协议的惊天大漏洞,在用完各种poc工具后,我们不妨来深入了解下这个高危漏洞的机理。  不管你是用网上公布的检测网站还是各个QQ群疯传的poc 脚本,知其然还要知其所以然,让我们知道漏洞形成的条件,以及漏洞产生的原理,如何修复这个惊天大漏洞。    这一次,腾讯的个别站点也没有幸免,果断是坑爹啊。点评ssl服务没有开启TLS heartbeat扩展,所以避过一劫,当...
Beats:使用 Heartbeat 来检查 TLS 证书是否将要过期
Elastic 中国社区官方博客
07-31 686
在许多时候,我们需要监控一个网站的 TLS 证书。如果快要过期了,我们希望能发出警报。这个需求我们可以使用 Heartbeat 并在 Kibana 中的 Uptime 应用中来实现。 首先,我们来安装好自己的 Heartbeat,并修改它的配资文件 heartbeat.yml 文件。在它的 heartbeat.monitors 下添加如下的配置: heartbeat.yml heartbeat.monitors: # 一下是添加的部分 - type: http id: elastic-offi
16 DTLS协议
最新发布
weixin_45842249的博客
06-12 894
非对称加密就是公钥上的锁,私钥才能打开,私钥上的锁公钥才能打开。比如说就是地下党接头的时候,把一个信息放在盒子里,然后这个盒子只有我能打开,这个盒子谁都可以放信息,但是只有要接收信息的那个人能打开。
TLS & DTLS心跳扩展(rfc6250)
dyrou的专栏
01-26 2746
最近半年中openssl的心脏滴血漏洞造成的影响真是太大了,openssl在实现rfc6052文档中定义的心跳扩展协议的时候出现了低级错误。对于这个错误的动机是什么真是无从说起。最近自己的项目中用到了这一部分的内容,那么就把自己整理的这份文档分享出来,反正我在网上是没有看到。废话少说,赶紧上内容吧,必须吐槽的是,某机构定义的行业规范歧义太多了,根本没有办法指导实际的开发过程,该好好看看RFC文档定
linux心跳包检测代码_OpenSSL心跳包越界读敏感信息泄漏漏洞
weixin_26969967的博客
02-17 246
发布日期:2014-04-10CVE ID:CVE-2014-0160受影响的软件及系统:====================OpenSSL 1.0.1-OpenSSL 1.0.1fOpenSSL 1.0.2-betaOpenSSL 1.0.2-beta1未受影响的软件及系统:======================OpenSSL 0.9.8OpenSSL 1.0.0OpenSSL 1.0...
检测网站是否存在OpenSSL漏洞的测试脚本
05-16
例如,“心脏出血”漏洞(CVE-2014-0160)是由于OpenSSL在处理TLS heartbeat扩展时的一个缓冲区溢出错误导致的。这个漏洞允许攻击者通过精心构造的请求,获取服务器或客户端内存中的敏感信息,包括私钥、密码、用户...
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
SSL/TLS协议中,有一种心跳扩展Heartbeat Extension)机制,用于保持连接的活跃状态。这个机制允许双方发送“心跳”消息,以确认对方仍在连接中。但是,OpenSSL 在处理心跳扩展时出现了一个错误,允许攻击者通过...
Openssl心血漏洞扫描工具CSHeartbleedScanner
04-21
OpenSSL 是一个强大的安全套接层(SSL/TLS)加密库,广泛应用于互联网服务器,确保数据传输的安全性。然而,在2014年,OpenSSL 发现了一个重大安全漏洞,被称为“心血漏洞”(Heartbleed Bug)。这个漏洞是由于在...
heartbleed:Heartbleed 漏洞 | 免费翻译
07-06
Heartbeat扩展允许双方(服务器和客户端)在TLS连接保持活跃时发送心跳消息,以验证对方是否仍然在线。在OpenSSL 1.0.1至1.0.1f版本中,一个缓冲区溢出问题导致了Heartbleed。当心跳响应消息的长度字段错误地报告了...
一文详解 DTLS 协议:安全传输的协议基石
bjxiaxueliang的CODING技术小馆
03-27 2394
DTLS (Datagram Transport Layer Security)数据包安全传输协议,用于在不可靠的数据包传输协议上 (如UDP)提供数据的安全传输,DTLS1.2版本由 RFC6347 定义。 DTLSTLS协议的一个变体,因TLS不能用来保证UDP上传输的数据的安全性,Datagram TLS试图在现存的TLS协议架构上提出扩展,成为TLS的一个支持数据包传输的版本。DTLS常用于保护实时通信 (如VoIP和视频会议) 以及IoT设备通信的信息安全。
DTLS 详细介绍
whshahaha的博客
06-04 2754
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS()类似的安全性和数据完整性保护,同时也具有UDP协议的优点,如低延迟和支持多路复用等。DTLS协议是建立在UDP协议之上的,因此它适用于对延迟敏感的应用程序,如VoIP(Voice over IP)和视频流媒体等。与TLS协议不同的是,DTLS协议在传输层对数据进行加密和认证,而TLS协议则是在传输层之上对数据进行加密和认证。
DTLS数据包传输层安全性协议详解
热门推荐
dvlinker的技术专栏
08-24 1万+
DTLS数据包传输层安全性协议详解
网络协议:DTLS 1.2
VFSSoft Blogs
03-01 2232
如何安全的传输 UDP 协议? 这篇文章带你一起学习一下著名的 DTLS 协议。
OpenSSL“Heartbleed”的漏洞exp
0xev4l 网络安全技术博客
04-09 1467
#!/usr/bin/python # Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org) # The author disclaims copyright to this source code. #用法:参数-p "端口" 域名/或ip import sys i
网络协议文档阅读笔记-Introduction to DTLS(Datagram Transport Layer Security)
IT1995的博客
06-08 759
在互联网中安全的数据传输是至关重要的。很多敏感数据都通过互联网交互数据如金融交易数据,医药数据,媒体流数据等。SSL/TLS和IPSec就是为了确保互联网中传输数据的安全而创建的。许多网站使用的是SSL/TLS。DTLS也是传输层的的一个安全协议。 What is DTLS DTLS是传输层协议,用于加密传输的数据,是基于UDP的。DTLSTLS很相似,在RFC4347和RFC6347中有定义。 Why DTLS SSL/TLS在TCP协议上的加密协议,TCP他是安全可靠不会丢失数据的..
互联网通信安全之 WebRTC 传输安全机制
weixin_44764152的博客
04-12 1050
全社会数字化转型加速叠加实时通信技术的蓬勃发展,实时通信已经已经渗透到各行各业,成为了人们现代化生活中不可或缺的重要交流手段。关注【融云全球互联网通信云】了解更多 其中,WebRTC 的出现更是使实时通信技术得以广泛应用,它提供了一套几乎所有主流浏览器都支持的标准 API,让浏览器之间无插件化的音视频互通成为可能,大大降低了音视频开发的门槛。视频会议、视频招聘、远程医疗等等需要实时互动的场景中,都可以看到 WebRTC 的身影。 在 WebRTC 中,为了保证媒体传输的安全性,引入了 DTLS
利用 heartbleed 漏洞
weixin_64383696的博客
06-19 300
Heartbleed漏洞,也叫心脏滴血漏洞。是流行的OpenSSL加密软件库中的一个严重漏洞。这个弱点允许窃取在正常情况下被用来保护互联网的SSL/TLS加密保护的信息。SSL/TLS为网络、电子邮件、即时消息(IM)和一些虚拟专用网络(VPNs)等应用程序在互联网上提供通信安全和隐私。Heartbleed漏洞允许互联网上的任何人读取受OpenSSL漏洞保护的系统的内存。这就损害了用于标识服务提供者和加密通信、用户名和密码以及实际内容的秘钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值