|
朱欣愚,安全的程序猿
这个漏洞的实际影响非常大。
比较大型的网站,登录认证这种事情,往往是一个独立的应用,使用 https 协议单独部署。所以运行一段时间之后,应用的内存中都是跟认证相关的数据,其中就会有大量的用户名和密码。在小型网站上利用这个漏洞反而比较困难,一般小 型网站就那么几台 Web 服务器,所有业务都在上面跑,Web 服务器的内存里面什么都有,有效信息的比重会很低。 实际测试了一下,以某宝为例,用 4k 大小的包读取,尝试 200 次,大约拿到 40 个用户名,7 个密码。随便试了一对用户名密码,可以登录成功。 这个事其实也暴露出 http 服务的安全有多脆弱。 http 服务有完善的链路层安全协议,反而导致设计应用协议的人偷懒,不在协议上作任何安全考虑,这样在应用的两端还是存在明文密码。明文密码或者说不过期的密 码,存在的地方多一个就危险一分。像登录这种事情,如果客户端发给服务器的是密码加时间的 hash 值,这个漏洞的危害就小很多。 一个有趣的事情是,设计原生 TCP 应用协议的人,反而会更多的在协议上考虑安全,因为他们没有非常好用的 ssl 库。 余弦,黑客,来自知道创宇的懒人 一切权威看爆这次漏洞的官方动态:Heartbleed Bug(Heartbleed 这个命名不错,载入史册)。 @知道创宇安全研究团队 实测可以 Dump 出淘宝、微信、陌陌、网银、12306 等各大使用 OpenSSL 服务的一些内存信息,里面有用户等的敏感内容(有些重要网站含明文密码)。 OpenSSL 这次被比做「心脏出血」。可见影响。一个安全套件不安全了…… 权威统计: 而且还不知是否有更进一步影响(小道八卦影响比想象的严重)。来自 Heartbleed 的官方说明(大概翻译下): OpenSSL 在 Web 容器如 Apache/Nginx 中使用,这两的全球份额超过 66%。还在邮件服务如 SMTP/POP/IMAP 协议中使用,聊天服务如 XMPP 协议,VPN 服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的 OpenSSL,所以不受影响,不过还是有很多用的是新的 OpenSSL,都受影响! 来自@ZoomEye 的统计: 全国 443 端口:1601250,有33303个受本次 OpenSSL 漏洞影响!注意这只是 443 端口。 全球 443 端口,至少受影响有71 万量级。 老外有个基于全球 TOP1000 的粗暴根域 OpenSSL 探测列表,仅供参考: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt 说这个粗暴是因为:仅对「根域」。 不知道有多少团队要熬夜: 甲方,加急升级 OpenSSL(如果升级真的可以的话,目前来看是可以); 乙方,像我们这样的安全公司,在给我们全线产品 + 客户提供安全应急,并给社会输出有价值的参考信息; 地下黑客,刷库,各种刷。 每次这种大事,乌云都是被各路白帽子刷分的:  我们已经联合国家有关单位进行应急响应,我相信这次风波会很快平息。 用户防御建议: 和某银行朋友交流,他们更新这个漏洞,需要 2 天时间。这段时间,用户谨慎吧,能不登录就不登录(因为你登录了你的相关明文信息,如用户名密码会在那万恶的 64K 内存中,这段内存是可以被 OpenSSL 这个漏洞刷出来的……),等过 3 天或这些网站说修复了,大家再继续使用服务…… 如果已经登录过,你紧张的话,就修改密码吧。 厂家防御建议: 首先,这类攻击日志据 Heartbleed 官方说,无日志记录,追查不到。不过 IDS/IPS 等可以检测 / 防御(我们的加速乐也可以)。 别犹豫了,尽快升级 OpenSSL 吧。 如果厂家负责的话,可以学国外知名云平台厂家 Heroku 的做法: Heroku OpenSSL Heartbleed Security Update 升级后,提醒用户更改密码、提醒云服务使用者更新 SSL 密钥重复证书。不过不太指望国内厂家这样做,因为我相信用户绝对会疯掉。 附录参考: 0. Heartbleed Bug(爆这次漏洞的官方) 1. 关于 OpenSSL“心脏出血”漏洞的分析 – 乌云知识库 – 知乎专栏 2. @Fooying 当安全协议不安全了:OpenSSL 漏洞 – Fooying – 知乎专栏 3. @Evilm0 OpenSSL 漏洞爆发后 – 微信公众号:Evil-say – 知乎专栏 ——————————————— 这事的影响超乎想象。 镜像链接:谷歌镜像 | 亚马逊镜像 相关日志
|
from 墙外楼 http://www.letscorp.net/archives/69307
