關于漏洞3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

筆者是48小時前在硅谷著名的科技八卦新聞集散地”Y Combinator黑客新聞”上看到這個漏洞的。研究了細節(jié)后，發(fā)現(xiàn)它確實是前無古人，如同筆者在另一篇文章里提到的：以前房子塌了都是因為建筑本身是豆腐渣工程，而這次我們知道原來腳下的地球也可能是豆腐渣工程，沒事會給你來個大地震。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

之所以安全界人士不吝自己的夸張之詞來形容這個漏洞，是因為：3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

1 影響范圍巨大 – 僅僅是受影響的Nginx和Apache就占據(jù)了web server 70%以上的市場。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

2 易于利用 – 隨機獲取用戶信息，是攻擊的第一步，也幾乎是后一步。只要有攻擊工具，無需任何專業(yè)知識就可以完成。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

3 難于檢測 – 攻擊所用的心跳包并非是完整的HTTP會話，不會在web server留下日志。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

唯一的幸運是，這個漏洞難以讓攻擊者精確瞄準指定用戶，除非能提前獲知目標訪問的確切時間。攻擊的效果就如同對著人群亂開槍。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

從微博上得知綠盟和知道創(chuàng)宇等安全公司的大牛們昨夜都是徹夜未眠，幕后還有更多的無名黑客在抓緊一年沒幾次的機會多刷點庫。如同每次大的漏洞爆發(fā)事件一樣，安全人員累覺不愛，小黑客們喜大普奔。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

一個漏洞的公開之日就是死亡倒計時的開始。如以前所有的漏洞事件一樣，在它被慢慢補上并淡出人們視線之前，黑客和安全人員都在抓緊后的時間進行賽跑。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

北京時間前天晚上，一條大魚出現(xiàn)，Yahoo郵箱服務器被證實有漏洞，凌晨時發(fā)現(xiàn)已被修補，其間不知有多少郵箱躺槍了。而還存在一種更可怕的可能：從泄露出的內存數(shù)據(jù)，有可能還原出SSL證書的私鑰（雖然目前還沒有人證實能做到這一點），這意味著在他們在付出較大代價得到新簽發(fā)的證書之前，Yahoo網站的SSL加密將失去意義。通俗的說，你將永遠不知道提交給Yahoo的密碼有沒有在傳輸中被人截獲，甚至無法得知正在訪問的那個網站是不是Yahoo真身。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

筆者也認為，這種時候就算關閉SSL服務也好過放在那讓人攻擊，Yahoo這樹太大了，多拖一分鐘都很危險。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

也許，這個操心是多余的。一般漏洞在公開之前都會有一段地下流傳期，有的漏洞在公開前甚至被地下用過一年。這個漏洞又被用過多久？有多少賬號，甚至證書私鑰泄露了？細思極恐。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

關于攻擊代碼3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

HeartBleed簡單的利用手法決定了它可以寫腳本來自動化，北京時間昨天凌晨，Mustafa在Github上發(fā)布了批量掃描工具，作為目標的1000個大網站中，Yahoo，Sogou等中招。3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)

3Ku北京網站設計開發(fā),小程序開發(fā),公眾號,微信開發(fā)-云智互聯(lián)