比思論壇

標題: OpenSSL曝重大安全漏洞网银密码受威胁 [打印本頁]

作者: 592758919 時間: 2014-4-10 11:42
標題: OpenSSL曝重大安全漏洞网银密码受威胁
近日，在互联网传输加密技术中有着重要位置的OpenSSL安全协议，曝出了一项重大的安全漏洞——Heartbleed漏洞（也被称为“心脏出血”漏洞）。由于OpenSSL安全协议一直被用于各大网银、电商网站、在线支付、电子邮件等重要网站上的通信数据加密，因此Heartbleed漏洞的曝出，无疑影响巨大，尤其是对网民的上网安全带来严重威胁。　　什么是OpenSSL？
　　想了解什么是OpenSSL，首先得了解下SSL安全协议。
　　SSL是Secure Sockets Layer（安全套接层）的英文缩写，是网景公司（Netscape）推出首版Web浏览器的同时提出的，目的在于为网络通信提供安全和数据完整性保障，而SSL在传输层中会对网络通信进行加密。
　　虽然目前SSL是一种在互联网中广泛流行的加密技术，但一般网友可能却并未留意它的存在。当我们打开网银或电子邮件网站时，在浏览器的地址栏中看到“https：//” 的开头时，就说明该网址采用了SSL安全协议了，而且在地址栏右侧可以看到一个锁型图案。

采用SSL安全协议的网站以“https：//” 开头，同时在右侧可以看到一个锁型图案

　　而OpenSSL则是基于SSL的开放源代码实现的安全套件，可用来实现网络通信的高强度加密，并被广泛地用于各种网络应用程序中。OpenSSL包括了主要的密码演算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序为测试或其它目的使用。
　　OpenSSL曝Heartbleed漏洞
　　OpenSSL就像保障互联网上数据传输安全的一把“锁”，而现在这把“锁”被曝出现了“失灵”的问题。据谷歌和网络安全公司Codenomicon的研究人员透露，OpenSSL加密代码中的Heartbleed模块存在着漏洞，黑客可以对存在此漏洞的https网站发起攻击，并套取用户的私密数据。

OpenSSL曝Heartbleed漏洞

　　对于存在漏洞版本的OpenSSL服务器，Heartbleed漏洞可以导致黑客远程读取，服务器内存中长达64K的数据。黑客通过该漏洞，经过不断地反覆获取，可以会获得含有用户http的原始请求、用户的cookie，甚至用户的明文帐号和密码等数据。

通过Heartbleed漏洞，黑客可以获得用户的明文帐号和密码（图片来自36kr.com）

最为危险的是，大家经常访问的支付宝、微信、淘宝等网站都存在这个漏洞，而且据安全专家称这个漏洞已经存在至少两年之久，只是在昨天才被曝出而已，所以很难估计到底有多少网站，多少用户的资料已被窃取。有网友对全球最流行的1000家网站进行了测试，结果发现有30%～40%的网站都存在该漏洞问题。

歡迎光臨比思論壇 (http://108.170.10.234/)