[1354] Heartbleed Explanation

Title Text:Are you still there, server? It’s me, Margaret.<

Origin:https://xkcd.com/1354/

https://www.explainxkcd.com/wiki/index.php/1354:_Heartbleed_Explanation

“心脏滴血”漏洞解析

你还在吗,服务员?是我,玛格丽特。

http://xkcd.in/comic?lg=cn&id=1354

Heartbleed bug最近收到了很多新闻报道,也是之前漫画1353:Heartbleed的主题。这个漫画解释了如何发现错误,并可以利用它来揭示服务器的内存内容。

名为Margaret(或“Meg”)的类似Megan的角色向服务器发送心跳请求,服务器通过将请求正文的内容返回到所请求的字母数来响应心跳请求。前两个请求格式正确,请求请求正文中的字符数。服务器的内存显示Meg的请求,同时还有许多其他请求正在进行。

梅格然后考虑这个,并尝试另一个要求“HAT”的请求,但要求它是500个字母而不是3个;服务器“检查它或者根本不知道500个字母大于请求主体”?返回“HAT”加上497个字母,这些字母恰好位于其内存中的“HAT”字样旁边(更多内容将比服务器的说话气泡,因为在显示的回复中只有251个字母/符号)。包括许多敏感信息位,包括主密钥和用户密码。显示的密码之一是“CoHoBaSt”,参考936:密码强度,建议使用“正确的马电池钉书针”作为密码。

通常流行的安全漏洞解释需要简化问题并省去很多细节。在这种情况下,兰德尔不需要做太多的简化;这个bug实际上很简单。此外,应该注意的是,任何可以连接到服务器的客户端通常都可以利用底层OpenSSL软件中的这个错误 – 使用术语“用户Meg”并不意味着Meg必须首先进行身份验证。

虽然兰德尔表示梅格在纸面上手工记录数据,但利用这个漏洞的人更有可能让计算机记录数据,可能是在硬盘上或闪存驱动器上。

标题文字是对你是否有上帝的参考?这是我,玛格丽特。,朱迪布鲁姆的小说,并扮演“服务器,你还在吗?”在她开始请求的每个小组中排队。这部小说是另一部漫画1544的主题:玛格丽特。梅格可以成为玛格丽特以及玛格丽特相似的梅根的绰号。

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories