2014-04-08 16:32
这个OpenSSL“心血”漏洞,各大互联网企业的运维今天可能得辛苦点,抓紧升级,或在边界上采取点措施扛一下。刚才写了个脚本简单跑了跑,一分钟就从某巨型购物网站的登陆服务器上抓到若干组明文用户名/密码。实测可成功登陆。其中一组还是某旗舰店的,幸好有手机验证这一关挡着。
2014-04-08 16:26
大致看了OpenSSL那个“心血”漏洞。1、漏洞可以无限制反复利用,所以即使不使用精巧的堆操控手段来控制读取的地址,也可以通过反复暴力尝试获取大量内存片段,然后从中寻找有价值的数据。2、利用泄露的信息所能干的事完全取决于你的想象力:对抗ASLR、窃取私钥、窃取用户Cookie、窃取用户名密码……
2014-04-08 15:16
推荐阅读@乌云知识库 中这篇OpenSSL“心血”漏洞分析:🔗网页链接。作者提到应对OpenSSL这样的关键安全基础设施进行安全审计。我和朋友讨论“自主可控”时,也说了类似观点:除非斥巨资组织对核心代码的安全审计,否则,拿个开源OS无论怎么汉化,怎么定制界面,最多只是实现了“自主编译”。
2014-04-08 15:03
转发微博
2014-04-05 08:58
——“这房子住了20年,墙皮大片大片脱落了。””不要疑神疑鬼,专业职能部门鉴定寿命50年。“——”可是这几天砖块老往下掉,墙根裂缝越来越大。“”前几天我们找了专家组检测,只是C级危房,局部修理下还可以住。“——”可万一哪天早9点塌了咋办?“”瞧你也是个知识分子,怎么科学素养那么差?“
2014-04-08 14:24
信息安全之外的很多行业对逆向工程技术的价值还没有足够认识。举个例子:很多创业公司都在做手机——你发现某款产品很省电,你也想省电,怎么办呢?可以自己去想各种思路,去做实验,而最直接的办法是逆向分析,看看人家是怎么做的。(一定会有人扯“抄袭”之类,所以得预先说一下:这么想太愚蠢了)