整個下午我們都處于應(yīng)急狀態(tài)中，精神緊繃，這個漏洞影響30-50%比例使用https的網(wǎng)站，其中包括大家經(jīng)常訪問的：支付寶、微信、淘寶、網(wǎng)銀、社交、門戶等知名網(wǎng)站。 只要訪問https的網(wǎng)站便有可能存在被嗅探數(shù)據(jù)的風(fēng)險，下午5點左右ZoomEye完成了這個數(shù)據(jù)掃描：全國443端口：1601250，有33303個受本次OpenSSL漏洞影響！不知道放眼世界，有多少使用https的受到威脅。

OpenSSL是什么？

他為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

OpenSSL漏洞

OpenSSL是一種開放源碼的SSL實現(xiàn)，用來實現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密，現(xiàn)在被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中。OpenSSL Heartbleed模塊存在一個BUG，當(dāng)攻擊者構(gòu)造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導(dǎo)致memcpy把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長大64K的數(shù)據(jù)。

存在該漏洞的版本

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable ? OpenSSL 1.0.1g is NOT vulnerable ? OpenSSL 1.0.0 branch is NOT vulnerable ? OpenSSL 0.9.8 branch is NOT vulnerable

簡單的說，黑客可以對使用https(存在此漏洞)的網(wǎng)站發(fā)起攻擊，每次讀取服務(wù)器內(nèi)存中64K數(shù)據(jù)，不斷的迭代獲取，內(nèi)存中可能會含有程序源碼、用戶http原始請求、用戶cookie甚至明文帳號密碼等。

漏洞爆發(fā)后

甲方公司運維、安全開始緊急預(yù)警修復(fù)升級，乙方公司忙著幫互聯(lián)網(wǎng)去測試有多少網(wǎng)站受影響以及推出檢測腳本，網(wǎng)民們卻不知情。只能傻傻的看著微博滿屏的OpenSSL暴漏洞了！ 黑客們開始搞起來吧！但這確實是一個不眠之夜，太多的網(wǎng)站受到影響，很多用戶不知情仍然在訪問著老虎嘴中的站點。 懂技術(shù)的人開始研究這個漏洞并編寫起自己的檢測腳本以及嗅探程序，不懂的小黑客們也照貓畫虎的玩起這個漏洞，歸根結(jié)底受害的還是蒙在鼓里的人們。

這個漏洞影響究竟有多大？