Heartbleed测试网站在数小时内被窃走私钥

OpenSSL Heartbleed漏洞的危险程度被安全专家称为是“灾难级”,攻击者能利用该漏洞窃走受影响网站的用户密码和私钥,此前的研究发现用户明文密码确实会暴露,但窃取私钥尚未有报道。

Heartbleed测试网站在数小时内被窃走私钥

相关阅读

OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)

OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复

OpenSSL “heartbleed” 的安全漏洞

通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输

云计算公司CloudFlare发起了一个 Heartbleed挑战赛,使用nginx Web服务器和存在漏洞的OpenSSL版本搭建了一个网站,邀请挑战者通过攻击窃取私钥。

结果短短几小时私钥就被安全研究人员成功窃取,至今有4个人通过了挑战:软件工程师Fedor Indutny发送了至少250万次请求, Ilkka Mattila发送了约10万次请求,另外两位是剑桥大学博士生Rubin Xu和安全研究员 Ben Murphy。这项挑战赛显示,使用存在漏洞的OpenSSL版本的网站应该废除所有旧私钥和证书。

Heartbleed 的详细介绍请点这里
Heartbleed 的下载地址请点这里

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/81fa5c1dd4cf1e1e2eaffa2fd082b2a1.html