出了POC的时候,我还在上课,下课了大网站都打好了补丁。真是不逢时。有Heartbleed专门的一个网站。毕竟openssl是广泛部署在linux上的,这是影响范围非常大的漏洞。导致各大厂商躺枪。
很多博客都已经对这个漏洞进行了分析,我水平还有限,不太看得懂。感觉这个博客才是正宗的。还有大概是翻译的中文博客,freebuf, wooyun。
截至目前(2014.04.08,22:00)我使用ssltest.py(当然作者不是我,是jspenguin)成功测试了account.wandoujia.com,cefamilie.com,存在漏洞没有修复。下面是利用cookie登录豌豆荚的页面。
4.14补充,据说还能恢复密钥,我不是很清楚,看github。
所以这件事给我的启示:
- 协议实现是安全中最薄弱的一环。要Code Review。
- 不要老想着推翻数学理论。
- 那个ssltest.py脚本为什么这么牛,我要好好修行!