openssl heartbleed

      出了POC的时候,我还在上课,下课了大网站都打好了补丁。真是不逢时。有Heartbleed专门的一个网站。毕竟openssl是广泛部署在linux上的,这是影响范围非常大的漏洞。导致各大厂商躺枪。

openssl

     很多博客都已经对这个漏洞进行了分析,我水平还有限,不太看得懂。感觉这个博客才是正宗的。还有大概是翻译的中文博客freebufwooyun

      截至目前(2014.04.08,22:00)我使用ssltest.py(当然作者不是我,是jspenguin)成功测试了account.wandoujia.com,cefamilie.com,存在漏洞没有修复。下面是利用cookie登录豌豆荚的页面。

wandoujia

4.14补充,据说还能恢复密钥,我不是很清楚,看github

所以这件事给我的启示:

  • 协议实现是安全中最薄弱的一环。要Code Review
  • 不要老想着推翻数学理论。
  • 那个ssltest.py脚本为什么这么牛,我要好好修行!