OpenSSL 的 Heartbleed 漏洞不限於 Server,也包含 Client...

Heartbleed 是惡意的 client 可以利用 OpenSSLHeartbeat Extension 漏洞取得 server 的機敏資訊。

而在「Testing for "reverse" Heartbleed」這篇說明 (並且 PoC) 這組漏洞也適用於反向的操作,也就是惡意的 server 可以取得 client 的資訊。

exploit 相較起來比正向的難一些,但還是可行並且成功做出來了。文章裡有描述怎麼實做的...

換句話說,反正手上的 OpenSSL 都趕快升級...

This entry was posted in Computer, Murmuring, Network, Security, Software, WWW and tagged , , , , , , , , . Bookmark the permalink.

2 Responses to OpenSSL 的 Heartbleed 漏洞不限於 Server,也包含 Client...

  1. Roy says:

    沒heartbeat的0.9.8和1.0.0其實可以不升級 XD

  2. Pingback: OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測 - Tsung's Blog

Leave a Reply

Your email address will not be published. Required fields are marked *