日子過得很平淡,當(dāng)你放棄的時候,沒有任何痕跡。根據(jù)“心血”安全漏洞的發(fā)現(xiàn),六年過去了。你還記得最初的恐懼嗎?那天晚上,互聯(lián)網(wǎng)門戶打開了。2014年4月7日,谷歌工程師尼爾默塔(NeelMehta)發(fā)現(xiàn)了一個名為“心血”的開放ssl漏洞:黑客可以通過簡單的方法攻擊,輕易獲得用戶和網(wǎng)站的隱私。這就像一個核彈爆炸,瞬間瓦解了世界上大多數(shù)網(wǎng)站的密文傳輸系統(tǒng)。一瞬間,互聯(lián)網(wǎng)行業(yè)面臨著一場血腥的風(fēng)暴,許多世界知名的互聯(lián)網(wǎng)公司都在顫抖。國內(nèi)互聯(lián)網(wǎng)公司也陷入混亂,幾乎所有的安全公司和安全團(tuán)隊都處于忙碌狀態(tài)。甲方公司緊急升級openssl版本,關(guān)閉補(bǔ)丁修復(fù)核心關(guān)鍵業(yè)務(wù);乙方公司夜以繼日地爭取補(bǔ)丁升級、漏洞重測、新環(huán)境部署、新環(huán)境發(fā)布等。openssl的。從事黑制作的黑客也在積極收集數(shù)據(jù),獲取更敏感的數(shù)據(jù),更好地開展黑制作業(yè)務(wù);雖然src平臺被白帽提交的漏洞屏蔽了…為什么…心臟出血引起了一場大風(fēng)暴?心痛安全漏洞會削弱SSL和TSL這兩種常見的互聯(lián)網(wǎng)通信協(xié)議的安全性。受Heartbleed影響的網(wǎng)站允許潛在攻擊者讀取用戶的訪問歷史。換句話說,精心策劃的網(wǎng)絡(luò)罪犯可以找到用戶的加密密鑰。一旦加密密鑰泄露,惡意攻擊者將能夠獲得入侵系統(tǒng)所需的憑據(jù)(包括用戶名和密碼)。在系統(tǒng)內(nèi)部,入侵者還可以使用與被盜證書相對應(yīng)的授權(quán)級別來發(fā)起更多的后續(xù)攻擊、竊聽通信內(nèi)容、替換用戶和竊取數(shù)據(jù)。六年過去了,風(fēng)暴依舊。自Heartbleed漏洞首次被披露以來,六年已經(jīng)過去了,但它仍然廣泛存在于許多服務(wù)器和系統(tǒng)中。當(dāng)然,OpenSSL的最新版本已經(jīng)被修復(fù),但是尚未(或無法)升級到修復(fù)版本的OpenSSL系統(tǒng)仍然會受到此漏洞的影響,并且極易受到攻擊。對于惡意攻擊者來說,只要他們能找到Heartbleed漏洞,那么一切都將很容易做到:他們可以自動搜索,然后輕松完成入侵。找到這些易受攻擊的系統(tǒng)后,使用它們的過程非常簡單,從它們那里獲得的信息或憑證也可以幫助它們快速推進(jìn)其他后續(xù)攻擊。你要做的是,雖然“心臟出血”的攻擊模式很難是
電商動態(tài)
六年來,你還記得被心痛控制的恐懼嗎?
瀏覽:590 時間:2021-6-14