OpenSSL漏洞简述与网络检测防护建议

来源:互联网  
2014/4/9 15:42:40
由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。

本文关键字: OpenSSL漏洞 网络检测
3.2 针对普通网络用户,我们郑重提出的建议包括
 
鉴于本漏洞的严重程度,在不能确定你所网站和服务修补了本漏洞的情况下,在未来2~3天内(2014年4月9日日起)不登陆,不操作是一种较好的应对策略(这些操作包括网购、网银支付等)。
 
如果你必须进行操作,可以关注这些网站和服务的修改情况。
 
一些手机客户端的登陆,是对SSL的封装,因此手机登录也不安全。
 
其他安全企业团队会公布目前仍有问题的站点、或没有问题的站点情况,请予以关注。
 
分析与验证
 
目前该漏洞的利用和验证脚本已经可以被广泛获取,地址包括。
 
http://fi****o.io/Heartbleed/ (web测试页面)
 
http://s3. ****guin.org/ssltest.py (python脚本)
 
http:// **.* u u.com/s/1nt3BnVB (python脚本)
 
尽管从安全团队的角度,我们不适宜明文传播这些地址,但我们必须提醒用户的是,几乎所有的攻击者都已经拥有了相关资源,在过去24小时内,这一漏洞已经遭到了极为广泛的探测和尝试。相信大多数有漏洞的站点均遭到了不止一次的攻击。
 
鉴于该漏洞的严重程度和攻击爆发事件,我们不得不打破搭建环境,测试验证的管理,
 
在第一时间,选择相对“轻量级”的网站做出直接验证,以分析其实际后果敏感信息。通过网络中已有的测试方法,我们寻找到几个存在问题的网站进行分析,为了避免行为失当,我们没有选择与金融、交易相关的站点。
 
存在问题的网站地址:
 
Ap***.*****.gov.cn (测试时间为2014-04-09 01:00)
 
my-****.in (测试时间为2014-04-09 01:10)
 
www.shu****.cn (测试时间为2014-04-09 01:15)
 
git****.com (测试时间为2014-04-09 01:20)
 
feng*****.com (测试时间为2014-04-09 01:30)
责编:李玉琴
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map