OpenSSL HeartBleed漏洞原理漫画图解
浏览:2081次 出处信息
前几天OpenSSL 的「滴血之心」漏洞造成的恐慌几乎席卷全球,国内外白帽子黑帽子疯狂刷数据刷积分,各大网站的安全部门也是遇到了从未有过的危机。虽然大家都讨论的很热烈,但对于用户们来说,只关心一件事情:我们支付宝里的钱还安全么。
除此以外,好奇的人们或许更想知道OpenSSL的程序员到底犯了什么错误,好在有xkcd这样的geek网站,用最最通俗易懂的方式,向大家展示了这个漏洞的原理和可爱之处。
还不明白的同学:所谓heartbleed的说法,源自于「心跳检测」,就是用户发通过起TSL 加密链接,发起 Client Hello询问,测服务器是否正常在线干活(形象的比喻就是心脏脉搏),服务器发回Server hello,表明正常建立SSL通信。每次询问都会附加一个询问的字符长度pad length,bug来了,如果这个pad length大于实际的长度,服务器还是会返回同样规模的字符信息,于是造成了内存里信息的越界访问。
建议继续学习:
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
扫一扫订阅我的微信号:IT技术博客大学习
<< 前一篇:中国黑客传说:天生我材
后一篇:公钥私钥加密解密数字证书数字签名详解 >>
文章信息
- 作者:童燕群 来源: 忘我的追寻
- 标签: HeartBleed OpenSSL
- 发布时间:2014-04-15 22:38:13
建议继续学习
近3天十大热文
- [42] IOS安全–浅谈关于IOS加固的几种方法
- [41] 如何拿下简短的域名
- [41] 界面设计速成
- [41] 图书馆的世界纪录
- [40] Oracle MTS模式下 进程地址与会话信
- [38] android 开发入门
- [37] 【社会化设计】自我(self)部分――欢迎区
- [36] 视觉调整-设计师 vs. 逻辑
- [35] 读书笔记-壹百度:百度十年千倍的29条法则
- [34] 程序员技术练级攻略