tombkeeper2014-04-09 09:23Open options我发表了文章《“Heartbleed”漏洞之后》:……对密码可能被盗取的用户进行额外风控措施……一旦发现异常,再通知修改密码——用另外的信道发这个通知,比如用户的注册邮箱。当然,如果监控到注册邮箱被修改了,往修改前的邮箱发。 “Heartbleed”漏洞之后 详情
tombkeeper2014-04-08 16:53Open options统计了一下,平均每个请求可以得到2组明文用户名密码。另外,作为普通用户,能做的大概就是今天别登陆。tombkeeper2014-04-08 16:32被tk转发1次Open options这个OpenSSL“心血”漏洞,各大互联网企业的运维今天可能得辛苦点,抓紧升级,或在边界上采取点措施扛一下。刚才写了个脚本简单跑了跑,一分钟就从某巨型购物网站的登陆服务器上抓到若干组明文用户名/密码。实测可成功登陆。其中一组还是某旗舰店的,幸好有手机验证这一关挡着。 详情
tombkeeper2014-04-08 16:32被tk转发1次Open options这个OpenSSL“心血”漏洞,各大互联网企业的运维今天可能得辛苦点,抓紧升级,或在边界上采取点措施扛一下。刚才写了个脚本简单跑了跑,一分钟就从某巨型购物网站的登陆服务器上抓到若干组明文用户名/密码。实测可成功登陆。其中一组还是某旗舰店的,幸好有手机验证这一关挡着。 详情
tombkeeper2014-04-08 16:26Open options大致看了OpenSSL那个“心血”漏洞。1、漏洞可以无限制反复利用,所以即使不使用精巧的堆操控手段来控制读取的地址,也可以通过反复暴力尝试获取大量内存片段,然后从中寻找有价值的数据。2、利用泄露的信息所能干的事完全取决于你的想象力:对抗ASLR、窃取私钥、窃取用户Cookie、窃取用户名密码…… 详情
tombkeeper2014-04-08 15:16Open options推荐阅读@乌云知识库 中这篇OpenSSL“心血”漏洞分析:网页链接。作者提到应对OpenSSL这样的关键安全基础设施进行安全审计。我和朋友讨论“自主可控”时,也说了类似观点:除非斥巨资组织对核心代码的安全审计,否则,拿个开源OS无论怎么汉化,怎么定制界面,最多只是实现了“自主编译”。 详情