首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 茶余饭后
    3. 发新帖
Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥
发表于: 2014-4-29 12:41 874

Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥

cscyclone 活跃值
2014-4-29 12:41
874
新闻链接:8d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3x3U0l9I4y4o6l9@1i4K6u0r3x3U0V1$3y4e0j5$3i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间:2014-04-29
新闻正文:
    OpenSSL的Heartbleed漏洞会泄露用户敏感数据,也会泄露网站私钥。
    云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。
    剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章,介绍他如何利用Heartbleed漏洞窃取网站的私钥。
    Rubin Xu解释说,2048位的N是两个随机生成的大素数p和q的乘积,N是公开的,而p和q是保密的。
    要发现p或q以获取密钥,一种方法是因式分解N,但这非常困难。
    有了Heartbleed漏洞,攻击就变得简单多了:因为Web服务器需要内存中的私钥签名TLS握手,因此p和q必须保留在内存中,所以可尝试利用 Heartbleed数据包获取它们。
    我们知道p和q是1024位,而OpenSSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回