Уязвимость Heartbleed

Уязвимость Heartbleed

Приветствую,всех читателей познавательного интернет ресурса WindowsFan.Ru!!!

Совсем недавно информационные порталы наперебой писали об обнаруженной уязвимости в OpenSSL-протоколе, которая получила название Heartbleed. Поскольку огромное количество веб-сайтов работает именно на этом протоколе, то безопасность множества пользователей встала под угрозу.

С помощью этой уязвимости хакеры без особого труда могли получить доступ к тому, что хранится в оперативной памяти серверов. А храниться там могла любая информация, в том числе и конфиденциальная (личные данные, данные кредитной карты).

Уязвимость Heartbleed

Согласно статистике, Heartbleed представлял угрозу практически для полумиллиона сайтов. Также под угрозой оказались переписки и внутренние документы некоторых компаний – для этого достаточно было получить цифровые ключи, которые предназначены для шифрования.

Сайты, которых не коснулась эта уязвимость:

- сайты, использующие другие версии протокола SSL;

- сайты, использующие старую версию OpenSSL (уязвимость в более ранних версиях отсутствует);

- сайты, не включившие Hertbeat (функция, являющаяся источником уязвимости, название уязвимости является отсылкой именно к Heartbeat);

- сайты, которые использовали свойство PFS, обеспечивающее невозможность получения всех сессионных ключей даже в случае кражи одного из них, относятся к этому списку наполовину. Хотя использование FPS не гарантирует безопасность сайта, оно снижает уровень нанесения потенциального ущерба.

Принцип работы Heartbleed

- злоумышленник получает доступ к 64 КБ оперативной памяти сервера;

- осуществляет периодические атаки, крадя данные, хранимые в оперативной памяти;

- после нескольких атак злоумышленник имеет в своем распоряжении пользовательские данные для входа (логин и пароль), файлы cookie, а также ключи шифрования, используя которые можно получить и другую секретную информацию пользователей (номера кредитных карт, личные переписки и др.).

Стоит ли бояться за свои данные?

Нет. Сайты, на которых хранится потенциально важная и секретная информация, прикладывают все усилия для того, чтобы не допустить ее кражи. Именно поэтому после обнаружения уязвимости на крупных ресурсах практически тут же стали проводиться работы по ее устранению.

Free Heartbleed scanner, how to stay safe on the web and avoid the Heartbleed vulnerability.


Описание:
We show you how to get a free heartbleed tool on Google Chrome that scans websites. This was developed by Jamie Hoyle.
UPDATE 4-16-14 as a Youtube user has told me, you can't see the warning so here is the screenshot of it. I apologize people. https://www.facebook.com/photo.php?fb…
Thank you Jamie.
Jamie Hoyle's website: http://jamiehoyle.com_
Jamie's Twitter Profile:https://twitter.com/mightyshakerjnr
Chromebleed: https://chrome.google.com/webstore/de…
Googel Chrome: https://www.google.com/chrome

Sql — инъекция (sql injection) + sqlmap + Kali linux — HackTour


Описание:
В этом видео, наглядно показано, как найти sql уязвимость и эксплуатировать ее с помощью Kali linux и Sqlmap
Наш блог: http://hack-tour.blogspot.ru/