Web 安全 之 OpenSSL
什么是OpenSSL协议?web
SSL(Secure SocketLayer,安全套接层)协议是使用最为广泛网站加密技术,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程当中不会被截取及窃听。简单的说,就是加密传输的数据,避免被截取监听等。数据库
而OpenSSL则是开源的SSL套件,做为一个多用途的、跨平台的通讯加密工具,为全球成千上万的web服务器所使用。Web服务器正是经过它来将密钥发送给访客而后在双方的链接之间对信息进行加密。URL中使用https打头的链接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。安全
但如今,OpenSSL本身出现了漏洞,并且是很是高危胁的漏洞,直接致使了本该是让为了更安全的设置变成了致命的危险。利用这个漏洞,黑客能够轻松得到用户的cookie,甚至明文的账号和密码。服务器
Heartbleed 漏洞,2014年互联网上最危险的漏洞微信
OpenSSL官方网站4月7日发布公告,安全公司Codenomicon的研究人员和Google安全小组的Neel Mehta相互独立地发现OpenSSL“heartbleed”存在安全漏洞(漏洞编号:CVE-2014-0160)。该漏洞发生在OpenSSL对TLS的心跳扩展(RFC6520)的实现代码中,因为遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,就可以从内存中读取请求存储位置以外的多达64 KB的数据,可能包含证书私钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通讯等数据。cookie
简单地说,由于Heartbleed Bug存在,能让互联网的任何人读取系统保护内存,容许攻击者窃听通信,并经过模拟服务提供者和用户来直接从服务提供者盗取数据,让上千万服务器中的加密用户数据暴露。网络
Heartbleed漏洞之因此得名,是由于用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的链接保持方式,但因为OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误,攻击者能够利用漏洞披露链接的客户端或服务器的存储器内容,致使攻击者不只能够读取其中机密的加密数据,还能盗走用于加密的密钥。工具
Heartbleed漏洞是2011年12月引入OpenSSL库中的,2012年3月14日1.0.1正式版发布后,含有漏洞版本的库被普遍使用,受影响版本为OpenSSL 1.0.1和1.0.2-beta,更早版本的OpenSSL(1.0.0和0.9.8等)不受影响。测试
波及数十万服务器网站
据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。所以,许多人的数据信息开始被暴露,每一个人都被卷入到此次灾难的修正中去。放眼放去,咱们常常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各类网站,基本上都出了问题。
而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
外媒估计,估计受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括雅虎、Imgur、OKCupid、Eventbrite以及FBI网站等,不过Google未受影响。
网络安全公司Qualys的一名研究员伊万•瑞斯提克(Ivan Ristic)建立了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天,他的网页访问量增长了7倍。他估计,使用SSL的服务器中,有30%存在漏洞。
经瑞斯提克的工具测试显示,许多大型网站,如谷歌、亚马逊、eBay等网站较安全,未受到这种漏洞的影响。雅虎发言人则表示,“咱们的团队已经成功地完成雅虎各个网站的修复。”
因为大多数的隐私工具都是基于OpenSSL,因此此次Bug影响的范围会更加深远。漏洞的修复可能须要几天时间,服务器重置证书的过程也是缓慢和昂贵的,在这期间会给攻击者留出不少自由发挥的空间。
解决之道
将 OpenSSL 升级到最新版本:
下载地址:https://www.openssl.org/source/
PFS是将来?
因祸得福,焉知非福。这次风波将会让整个互联网从新思考网络安全。Heartbleed风波事后,互联网公司必将改变它们的安全措施。据悉,不少大型互联网公司都已经转向了PFS(彻底正向保密)技术——它能让密钥的保存时间变得很短。有评论认为,这多是将来的一个发展方向。
- 1. OpenSSL之SSL协议的Web安全实现
- 2. 【web安全】浅谈web安全之XSS
- 3. Openssl安全与认证
- 4. OpenSSL之安全通信基础
- 5. web安全之web介绍
- 6. OpenSSL 安全漏洞: heartbleed
- 7. web安全之路
- 8. web安全之token
- 9. Web安全之CSRF
- 10. web安全之XSS
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • Composer 安装与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. eclipse设置粘贴字符串自动转义
- 2. android客户端学习-启动模拟器异常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout问题
- 4. MYSQL8.0数据库恢复 MYSQL8.0ibd数据恢复 MYSQL8.0恢复数据库
- 5. 你本是一个肉体,是什么驱使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一个肉体,是什么驱使你前行【3】
- 9. 你本是一个肉体,是什么驱使你前行【2】
- 10. 【资讯】LocalBitcoins达到每周交易比特币的7年低点
- 1. OpenSSL之SSL协议的Web安全实现
- 2. 【web安全】浅谈web安全之XSS
- 3. Openssl安全与认证
- 4. OpenSSL之安全通信基础
- 5. web安全之web介绍
- 6. OpenSSL 安全漏洞: heartbleed
- 7. web安全之路
- 8. web安全之token
- 9. Web安全之CSRF
- 10. web安全之XSS