zoukankan      html  css  js  c++  java
  • 支付宝openssl漏洞肆虐 互联网巨头称目前已修复

    OpenSSL“心脏流血”漏洞肆虐 国内超1万个网站主机受影响

    支付宝openssl漏洞肆虐 互联网巨头称目前已修复

      金山毒霸安全专家李铁军表示,这个漏洞使黑客可以远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。” 一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。


      网购、信息登记、社交……如今,我们的日常生活离不开互联网,但有可能,过去两年里,黑客可以利用通过安全漏洞多次盗取我们的用户登录账号密码。4月8日晚,安全协议OpenSSL爆出本年度最严重的安全漏洞。该安全漏洞被业内称为“心脏流血”。有媒体报道称,已经存在了大约两年了,随后昨日国内各大厂商、互联网企业闻风而动,采取了堵漏洞等相关安全措施。
      目前互联网巨头称已升级系统修复漏洞

      可远程盗取用户账户密码

      据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构。

      安全专家指出,SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。它好比互联网上销量最大的门锁。它可以允许处于SSL连接一端的电脑发送短信息,确认另一台电脑仍然在线,并给与回应。但通过被曝光的漏洞,黑客可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。

      金山毒霸安全专家李铁军表示,这个漏洞使黑客可以远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。”

      一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

      “OpenSSL漏洞堪称网络核弹,”360安全专家石晓虹表示,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。“建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。”

      约2亿网民受波及

      据悉,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。但据360网站安全检测平台昨日对国内120万家经过授权的网站扫描,有11440个网站主机受OpenSSL“心脏出血”漏洞影响。另据多个流量监测机构数据推算,4月7日、4月8日,共计约2亿网友访问了存在OpenSSL漏洞的网站。

      更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多。这意味着,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

      各大网站和黑客斗快

      据媒体报道,这个漏洞被曝出来后,全球黑客们已经纷纷出动,不停试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据。因此,各大网站也争分夺秒地升级系统、弥补漏洞。

      对于用户量较多的腾讯和阿里,两大互联网巨头昨日分别在回复新快报记者的声明中均表示,已第一时间进行了修复处理,目前如QQ、微信、支付宝等均可以安全使用。京东方面也表示,系统已全面排查并升级,可以避免这次漏洞的侵袭。

      根据安全分析系统ZoomEye的检测报告,截至昨日20点11分,中国12个受影响大站列表中,仅剩YY某服务仍显示未修复状态,其余如微信公众号、QQ邮箱、支付宝、陌陌、比特币中国等网站均已完成修复。

      中国受影响大站列表

      12306铁路客户服务中心

      微信公众号

      微信网页版

      QQ邮箱

      陌陌

      雅虎

      比特币中国

      支付宝

      知乎

      淘宝网

      360应用

      YY某服务

      注:据ZoomEye的检测报告,截至昨日22点,除YY某服务仍显示未修复状态,上述网站均已修复。

      1

      普通网民可以做这些:

      注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。

      2

      对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。

      3

      如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。安全专家的建议是,一个密码的使用时间不宜过长,超过3个月就该换掉了。

  • 相关阅读:
    OK335xS-Android mkmmc-android-ubifs.sh hacking
    OK335xS-Android pack-ubi-256M.sh hacking
    OK335xS Ubuntu 12.04.1 版本 Android 开发环境搭建
    Qt Quick Hello World hacking
    Qt QML referenceexamples attached Demo hacking
    QT 5.4.1 for Android Ubuntu QtWebView Demo
    I.MX6 working note for high efficiency
    QT 5.4.1 for Android Windows环境搭建
    mkbootimg hacking
    Generate And Play A Tone In Android hacking
  • 原文地址:https://www.cnblogs.com/DjangoBlog/p/3669423.html
Copyright © 2011-2022 走看看