漏洞的科普

漏洞影响及趋势
这几天到处都是OpenSSL的漏洞的各种声音,我想大家都被各种刷屏了,我就不多说了,给大家带来最新的趋势和影响。
来自zoomeye的分布图:http://www.zoomeye.org/lab/openssl
ZoomEye 团队:关于OpenSSL “HeartBleed”漏洞 最新全球受影响服务及主机 SMTP Over SSL : 147292个
POP3 over SSL: 329747 个
IMAP over SSL: 353310个
国内的OpenSSL 漏洞443端口受影响依旧明显:
2014.04.08 第一天:33303个
第二天:22611个
第三天:17850
第四天:15661


事件报道
事件报道我就不多说了,网上有很多文章,各种文章有写的好的,有写的有问题的,我就不把文章列出来了,大家可以看央视的《新闻1+1》,以下是链接地址:
漏洞的测试
对于漏洞而言,有同学问我如何利用POC对漏洞进行测试,其实我在前天的文章中提供了POC就可以对漏洞进行检测的测试,不过可能对于初学的同学还是不了解,我就大概的说下把,关于其他的EXP或者POC其实方式都是类似的,我就不多说了,大部分都是通过命令行来运行的。
其实那天那个POC就基本能简单的测试了,属于初始版本的POC,其他的我就不多说了,大家自己去研究下。那天那个POC因为Python脚本,需要Python2.7的环境,然后直接运行以下命令就可以了(POC地址http://pan.baidu.com/s/1c027ILi):
python openssl.py 域名
如果存在漏洞,就会输出类似以下的内容:
左侧大家看不懂就直接忽略,只要可以直接查看的是右侧的信息(这个界面搞过逆向的同学应该会很熟悉),如果有什么价值的信息就可以找找右侧内容。
如果是输出这样的情况,则证明不存在漏洞:
这里给大家大概说了下如何进行漏洞的测试是为了满足大家的好奇心,其实如果大家真对这些东西感兴趣,可以自己去学学相关的东西,具体我就不多说了,有机会再继续跟大家分享。
题图来自网络
最新评论