Google 工程师如何发现 Heartbleed 漏洞

最新推荐文章于 2021-07-08 15:11:33 发布
最新推荐文章于 2021-07-08 15:11:33 发布
阅读量141 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/115912
版权

Google工程师Neel Mehta最早发现了 OpenSSL的Heartbleed漏洞,他现在首次披露了发现的经过。Mehta说,他当时正逐行的检查OpenSSL的SSL堆栈,他决定检查SSL堆栈的主要原因是今年早些时候发现了多个加密漏洞,其中一个是GoToFail,另一个是GnuTLS的缓冲溢出bug。

Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下。他没有预计到主流媒体会对该bug产生如此大的热情, 认为另一个同时发现该漏洞的安全公司的营销手段让Heartbleed吸引了主流媒体的关注。安全公司Codenomicon为这个漏洞制作了一个 logo,起了很炫的名字Heartbleed。

文章转载自 开源中国社区 [http://www.oschina.net]
weixin_34049948
关注
LeetCode _算法笔记_谷歌工程师_
09-30
谷歌工程师算法笔记,配合LeetCode使用,代码思维能力快速提高
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
qq_50854662的博客
08-15 2088
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
Heartbleed心脏出血原理及漏洞复现(CVE-2014-0106)
qq_43589852的博客
07-08 7013
Heartbleed心脏滴血滴血原理及漏洞复现(CVE-2014-0106)漏洞简介漏洞原理漏洞复现 漏洞简介 心脏出血是OpenSSL库中的一个内存漏洞,攻击者利用这个漏洞可以服务到目标进程内存信息,如其他人的Cookie等敏感信息。 漏洞原理 心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包,主要是HeartbeatMessage的长度与payload的length进行匹配,若payload_lenght长度大于HeartbeatMes sage的length,则会在服
关于HeartBleed漏洞的总结
马赛克的博客
03-23 7335
一:前言 HeartBleed漏洞又称为心脏出血漏洞,编号(CVE-2014-0160),产生原因:由于未能在memcpy()调用受害用户输入的内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSl所分配的64KB内存,将超出必要范围的字节信息复制到缓存当中,再返回缓存内容,这样一来,受害者的内存内容就会每次泄露64KB. 简单来说,这就是OpenSSL缺陷造成的漏洞 二:环境...
心脏流血(Heartbleed漏洞详解
yingrenzhe68的专栏
10-02 8570
  2014年4月7日,OpenSSL宣布的OpenSSL 1.0.2-beta及1.0.1系列(除1.0.1g)的所有版本中,在其所实现的TLS心跳扩展存在严重的内存处理错误。它可以被用于让每个心跳包显示应用程序至多64K Byte的内存内容。它的CVE号为CVE-2014-0160。 该漏洞是通过发送一个畸形的心跳请求至服务器,以引起服务器内存响应而引发。由于缺乏边界检查,Ope...
Heartbleed心脏出血漏洞靶场搭建
fly小灰灰的专栏
01-12 6204
1. 简介   OpenSSL心脏出血漏洞原理是OpenSSL引入心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有做边界检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器也可以是客户端)内存中的一些数据。    所以针对本次漏洞的检测,我需要在虚拟机中搭建一个通过https安全协议的数
Google工程师谈顶级工程师The effective engineer
08-17
Google工程师谈顶级工程师The effective engineer - Edmond Lau.epub The Effective Engineer 作者: Dedmond Lau 出版社: The Effective Bookshelf, Palo Alto, CA. 副标题: How to Leverage Your Efforts in ...
谷歌工程师文化中的6个核心原则
08-15
在我的第一个项目,我同两位极具天赋的工程师一起工作,短短六个月,我们原型化、测试并启动了网站的新功能,每天向数百万用户在google.com上展示相关搜索。作为团队的新员工,自始至终最突出的感受是在这样的环境中...
google adsense工程师K站的算法
10-01
综上所述,谷歌AdSense的K站算法复杂而智能,旨在发现并阻止任何试图操纵系统的尝试。作为网站管理员,应避免任何可能被视为欺诈的行为,并确保自己的操作符合AdSense政策,以免被K站,影响收入和信誉。在尝试规避...
利用谷歌搜索SQL注入漏洞关键词
12-16
利用谷歌搜索SQL注入漏洞关键词 目标关键字+inurl:id 英语字母及单词+inurl:id 网站域名+inurl:id 阿拉伯数字+inurl:id inurl:asp?id= inurl:Article_Print.asp? EnCompHonorBig.asp?id=随便加个数字 showproduct....
关于“心脏出血”漏洞(heartbleed)的理解
weixin_30685029的博客
07-22 364
前阵子“心脏出血”刚发生的时候读了下源代码,给出了自己觉得比较清楚的理解。 -------------------------穿越时空的分割线--------------------------- 参考:http://drops.wooyun.org/papers/1381 这个问题出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后...
openssl-heartbleed漏洞学习
小小鱼的博客
09-14 9146
了解漏洞 Heartbleed漏洞: Heartbleed漏洞是openssl的一个漏洞,这个严重漏洞(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。 背景和影响:...
关于OpenSSL“心脏出血”漏洞的分析
u014598410的专栏
04-09 539
http://www.05112.com/anquan/gjbc/hkbc/2014/0408/8956.html
Linux超级Bash漏洞(Shellshock)修复方法,内附Debian服务器详细方法
tiankongxiaya的专栏
09-29 866
近日,Linux社区爆出了关于Linux Bash的安全漏洞,该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。 不同于之前的SSL的HeartBlood漏洞,这个Bash漏洞能让黑客通过嵌入恶意命令完全控制目标机器,而不像HeartBlood只是可以嗅探敏感信息。 对于所有安装GNU bash 版本小于或者等于4.3的Linux操作系统
Heartbleed心脏出血漏洞原理分析
热门推荐
fly小灰灰的专栏
01-14 2万+
1. 概述   OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。2. 数据包分析   SSL(Secur
Heart bleed 漏洞源码与过程解析
Marvin_Huoshan的博客
12-17 1255
Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。 引用一下知乎上看到的一张图片,十分形象: Openssl漏洞源码分析...
五次全国1%抽样个人微观数据(最新整理)
最新发布
10-10
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/142833919 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
户外储能电源2Kw(最大3Kw)双向逆变器电路资料 本方案整体特性如下: 一.双向软开关DC-DC,高效率,充电时具有PFC和
10-10
户外储能电源2Kw(最大3Kw)双向逆变器电路资料。 本方案整体特性如下: 一.双向软开关DC-DC,高效率,充电时具有PFC和UPS功能,检测MOS内阻压降实行过流保护,最大充电功率:20A 1100W; 二.控制部分:采用两颗M0+32位MCU(BAT32G139L048系列)其一:负责主逆变控制和市电PFC及UPS功能控制,其二:负责双向DC-DC控制及上位机通讯,逆变控制MCU采用单极性 单极性倍频SPWM调制方式,效率高,干扰小,输出电压采电压、电流双环控制,动态响应快、负载适应能力强,全数字控制。 上电自检功能:通过单片机轮流发信号并检测反馈信息的方式来判断驱动回路、功率回路是否存在故障,并发出报警用; 三.功率部分:H桥IGBT采用650V30A 50A大电流管子; 输入电压:44~58VDC(按需求调整电压)输出电压:220 230VAC±2% 电子资料包含原理图+PCB设计文件(Altium软件),BOM,变压器参数说明
主动配电网两阶段鲁棒恢复matlab代码 参考文献IEEE TRANSACTIONS ON POWER SYSTEMSRobu
10-10
主动配电网两阶段鲁棒恢复matlab代码 参考文献IEEE TRANSACTIONS ON POWER SYSTEMS《Robust Restoration Method for Active Distribution Networks》 提出了一种主动配电网两阶段自适应鲁棒恢复优化模型,涉及不确定DG出力和负荷大小。 第一阶段为确定故障恢复策略,第二阶段则寻找最恶劣场景。 采用C&CG方法进行求解。 这份资源就是对该文献的详细解读及部分内容的matlab代码复现。 主要内容: 1.详细的文献分析及代码解读文档 2.确定性故障恢复方法的matlab代码 3.两阶段鲁棒故障恢复方法的matlab代码 4.使用蒙特卡洛模拟法进行N-1故障扫描,以确定各方法的性能。
谷歌工程师深度解析Android系统架构
"谷歌工程师深入解析Android系统架构" Android系统架构是一个复杂的多层次结构,由多个组件协同工作以提供全面的操作体验。Google工程师Sans Serif详细介绍了这一架构,揭示了其核心组成部分。 1. Linux内核:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值