返回
心血安全漏洞论述

心血安全漏洞论述

ID:311554

大小:28.33 KB

页数:5页

时间:2017-07-21

心血安全漏洞论述_第1页
心血安全漏洞论述_第2页
心血安全漏洞论述_第3页
心血安全漏洞论述_第4页
心血安全漏洞论述_第5页
资源描述:

《心血安全漏洞论述》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、心血安全漏洞论述摘要:大多数的SSL加密网站都基于名为OpenSSL的开源软件包,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。4月7日,研究人员公布,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。该漏洞为本年度互联网上最严重的安全漏洞,堪称网络核弹,影响全世界数亿网民。关键字:心血漏洞,OpenSSL,网络安全,软件包正文:一、基本概

2、念:1)安全协议OpenSSL:OpenSSL是套开放源代码的SSL包,其库是以C语言所写成,实现了基本的传输层数据加密功能。OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在一些涉重要个人信息的网站如网银、在线支付、电商网站、门户网站、电子邮件等服务上被广泛使用。2)开源(OpenSource,开放源码):用于描述那些源码可以被公众使用的软件,并且此软件的使用、修改和发行也不受许可证的限制。二、心血漏洞起因OpenS

3、SL软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这一漏洞存在的人可以从网络服务器里窃取用户名、密码、信用卡信息和其他各种敏感信息。这也导致服务器的加密密钥很容易被窃取。一旦被窃取,这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数据。目前,大多数在线购物平台及金融网站,在PC端用IE打开的时候,都使用了 “https://”传送协议,在用户与服务器进行交互的时候,服务器与客户端每隔一定时间 (比如数秒)进行一次数据通信,这种间歇性通信

4、时发送的数据包被称之为“心跳包”。这种通信过程出现的漏洞,因此得名“心跳出血”漏洞。为了保障用户的通信安全,常用的一种加密技术便是SSL。SSL(SecureSocketsLayer安全套接层)的重要作用在于:认证用户和服务器,确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。在加密技术中,开源的OpenSSL是一种最常用的加密模式,相当于互联网上销量最大的门锁。目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广

5、泛使用。三、工作原理OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这点,构造异常的数据包,通过安全链接(SSL)提交到有该漏洞的服务器时能获取到某一块64KB的内存数据,但该内存数据很可能是不完整的,也可能是无价值的,如果碰巧该数据有完整信息且是用户的敏感数据,那将会对该网站用户造成危害,诸如泄露证书私钥、用户名、用户密码、用户邮箱等敏感信息。具体来说,即SSL标准包含一个心跳选

6、项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。但研究人员发现,可以通过其他手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。这一漏洞的原理并不复杂,就是通过技术手段获得网站服务器中用于加密互联网传递信息的网络密钥然后截获用户信息,或者黑客还可以直接潜伏在网站服务器的内存中,通过耐心地获取更多的用户数据,慢慢地拼凑出完整的用户信息。四、影响OpenSSL在Web容器如Apache/Nginx中使用,这

7、两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用,聊天服务如XMPP协议,VPN服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的OpenSSL,所以不受影响,不过还是有很多用的是新的OpenSSL,都受影响。自这个漏洞被爆出后,全球的黑客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。这是最危险的地方:黑客们已经纷纷出动,一些公

8、司的负责人却还在睡觉。而如果黑客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。该软件存在一个会导致用户通讯内容泄露的重要漏洞,更为致命的是OpenSSL存在这种漏洞已有约两年时间。利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。专家因此担心,是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以还没有办法确认哪些服务器被入侵,也就没

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。