心脏出血漏洞(CVE-2014-0160)
利用范围
漏洞编号: CVE-2014-0160
发现人员: 安全公司Codenomicon和谷歌安全工程师
漏洞简述: OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
影响版本: OpenSSL 1.0.2-beta, OpenSSL 1.0.1 - OpenSSL 1.0.1f
触发函数: memcpy函数
原理
OpenSSL 是一个安全协议,它可以对用户与大多数网络服务所提供的服务器之间的通信进行加密。因为很多网站(例如google等)采用的是 OpenSSL 来保护敏感的用户信息,但是OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。
利用
两种方式检测目标是否存在heartbleed漏洞
- 在线检测
https://filippo.io/Heartbleed
https://www.ssllabs.com/ssltest/index.html
http://possible.lv/tools/hb/
~~感觉不是很有用
- 脚本检测
- 通过 ssltest.py
- 通过nmap
- 通过 ssltest.py
通过wireshark抓包查看对话
总结
检测是否存在heartbleed漏洞
详细