关于 HeartBleed 安全漏洞的 2 张漫画

openSSL 的「滴血之心」漏洞造成的恐慌几乎席卷全球,国内外白帽子黑帽子疯狂刷数据刷积分,各大网站的安全部门也是遇到了从未有过的危机。虽然大家都讨论的很热烈,但对于用户们来说,只关心一件事情:我们支付宝里的钱还安全么。

最近大家关注的“OpenSSL漏洞”是怎么回事?这个漏洞在英文中称为Heartbleed(可暂译为“心泣”),可能导致各种各样的信息泄露,但其实它的原理出奇地简单。

不信,请看著名网络漫画xkcd的这 2张图解:

关于 HeartBleed 安全漏洞的 2 张漫画

HeartBleed Bug 的工作原理:

关于 HeartBleed 安全漏洞的 2 张漫画

还不明白的同学:所谓heartbleed的说法,源自于「心跳检测」,就是用户发通过起TSL 加密链接,发起 Client Hello询问,测服务器是否正常在线干活(形象的比喻就是心脏脉搏),服务器发回Server hello,表明正常建立SSL通信。每次询问都会附加一个询问的字符长度pad length,bug来了,如果这个pad length大于实际的长度,服务器还是会返回同样规模的字符信息,于是造成了内存里信息的越界访问……

Heartbleed 的详细介绍请点这里
Heartbleed 的下载地址请点这里

相关阅读:

OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)

OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复

OpenSSL “heartbleed” 的安全漏洞

通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/daa0c409db490c9b012bd6bf236e7c00.html