摘要:可以探測你的服務器是否存在漏洞心臟出血漏洞。如何使用檢測心臟出血漏洞安裝可以在下載編譯好的二進制文件的壓縮包。如何修復將受影響的服務器下線,避免它繼續泄露敏感信息。撤銷現有的會話。要求用戶修改密碼。
heartbleeder 可以探測你的服務器是否存在 OpenSSL CVE-2014-0160 漏洞 (心臟出血漏洞)。
什么是心臟出血漏洞?CVE-2014-0160,心臟出血漏洞,是一個非常嚴重的 OpenSSL 漏洞。這個漏洞使得攻擊者可以從存在漏洞的服務器上讀取64KB大小的內存信息。這些信息中可能包含非常敏感的信息,包括用戶請求、密碼甚至證書的私鑰。
據稱,已經有攻擊者在某寶上嘗試使用漏洞讀取數據,在讀取200次后,獲取了40多個用戶名和7個密碼。
如何使用 heartbleeder 檢測心臟出血漏洞? 安裝可以在gobuild.io下載編譯好的二進制文件的壓縮包。包括Windows、Linux、MacOSX。
由于服務器操作系統最常用的是Linux,因此這里提供一下下載Linux二進制壓縮包的命令:
Linux(amd64)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/amd64 -O output.zip
Linux(i386)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/386 -O output.zip
下載后解壓縮即可。
也可以自行編譯安裝(Go版本需在1.2以上), 使用如下命令:
go get github.com/titanous/heartbleeder
二進制文件會放置在 $GOPATH/bin/heartbleeder。
使用$ heartbleeder example.com INSECURE - example.com:443 has the heartbeat extension enabled and is vulnerable
Postgres 默認在 5432 端口使用 OpenSSL,如果你使用Postgres服務器,則需使用如下命令:
$ heartbleeder -pg example.com SECURE - example:5432 does not have the heartbeat extension enabled如何手工檢測心臟出血漏洞
如果不方便安裝heartbleeder,或者不放心自動檢測的結果,也可以手動檢測。
首先判斷服務器上的Openssl版本是否是有漏洞的版本。目前有漏洞的版本有: 1.0.1-1.0.1f(包含1.0.1f)以及 1.0.2-beta。你可以使用如下的命令查看服務器上的當前版本:
openssl version
接著你需要判斷是否開啟了心跳擴展:
openssl s_client -connect 你的網站:443 -tlsextdebug 2>&1| grep "TLS server extension "heartbeat" (id=15), len=1"
如果以上兩個條件你都滿足的話,很遺憾,你的服務器受此漏洞影響,需要盡快修復。
如何修復將受影響的服務器下線,避免它繼續泄露敏感信息。
停止舊版的 openssl 服務,升級 openssl 到新版本,并重新啟動。
生成新密鑰。(因為攻擊者可能通過漏洞獲取私鑰。)將新密鑰提交給你的CA,獲得新的認證之后在服務器上安裝新密鑰。
服務器上線。
撤銷舊認證。
撤銷現有的會話cookies。
要求用戶修改密碼。
編撰 SegmentFault
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11127.html
摘要:是一個基于的輕量持續實時的模塊。通過流量分析,可以實現更有效地監控網絡的狀況。目前已有大量設備支持協議。通過分布在網絡不同位置的將數據傳送給中央采集器,由中央采集器進行分析。使用采樣分析技術。這是問題的臨時解決方案。 mod_sflow是一個基于 Apache 的輕量、持續、實時的 sFlow 模塊。 showImg(http://segmentfault.com/img/bVb6R...
摘要:用于安全的數據傳輸。表明它使用了,但存在不同于的默認端口及一個加密身份驗證層在與之間。申請證書網上已經有不少機構提供個人免費證書,有效期幾個月到幾年不等,博主使用的是申請成功后有效期年,到期后可免費續租。 前言 隨著國內各大網站紛紛開啟全站 HTTPS 時代,HTTPS 已不再是支付等敏感操作過程的專屬,開啟 HTTPS 對于個人網站或者小型網站也不再遙不可及。 今天博主就以自己的網站...
摘要:在十年未變安全,誰之責上中,我們介紹了安全領域的現狀和新的解決方案,那么究竟是什么它在應用安全多變的今天又能帶給我們什么樣效果我們將通過何種方式才能打贏這場與黑客之間的攻堅戰呢應用安全行業快速發展的數十年間,出現了許多巨變。 在 十年未變!安全,誰之責?(上)中,我們介紹了安全領域的現狀和RASP新的解決方案,那么 RASP 究竟是什么?它在應用安全多變 的今天又能帶給我們什么樣效果?...
閱讀 3878·2021-09-27 13:36
閱讀 4554·2021-09-22 15:12
閱讀 3063·2021-09-13 10:29
閱讀 1828·2021-09-10 10:50
閱讀 2360·2021-09-03 10:43
閱讀 519·2019-08-29 17:10
閱讀 443·2019-08-26 13:52
閱讀 3250·2019-08-23 14:37