前幾天openSSL 的「滴血之心」漏洞造成的恐慌幾乎席卷全球,國(guó)內(nèi)外白帽子黑帽子瘋狂刷數(shù)據(jù)刷積分,各大網(wǎng)站的安全部門(mén)也是遇到了從未有過(guò)的危機(jī)。雖然大家都討論的很熱烈,但對(duì)于用戶(hù)們來(lái)說(shuō),只關(guān)心一件事情:我們支付寶里的錢(qián)還安全么。
除此以外,好奇的人們或許更想知道openSSL的程序員到底犯了什么錯(cuò)誤,好在有xkcd這樣的geek網(wǎng)站,用最最通俗易懂的方式,向大家展示了這個(gè)漏洞的原理和可愛(ài)之處。
還不明白的同學(xué):所謂heartbleed的說(shuō)法,源自于「心跳檢測(cè)」,就是用戶(hù)發(fā)通過(guò)起TSL 加密鏈接,發(fā)起 Client Hello詢(xún)問(wèn),測(cè)服務(wù)器是否正常在線干活(形象的比喻就是心臟脈搏),服務(wù)器發(fā)回Server hello,表明正常建立SSL通信。每次詢(xún)問(wèn)都會(huì)附加一個(gè)詢(xún)問(wèn)的字符長(zhǎng)度pad length,bug來(lái)了,如果這個(gè)pad length大于實(shí)際的長(zhǎng)度,服務(wù)器還是會(huì)返回同樣規(guī)模的字符信息,于是造成了內(nèi)存里信息的越界訪問(wèn)……
掃碼二維碼 獲取免費(fèi)視頻學(xué)習(xí)資料
- 本文固定鏈接: http://www.wangchenghua.com/post/2366/
- 轉(zhuǎn)載請(qǐng)注明:轉(zhuǎn)載必須在正文中標(biāo)注并保留原文鏈接
- 掃碼: 掃上方二維碼獲取免費(fèi)視頻資料
查 看2022高級(jí)編程視頻教程免費(fèi)獲取