OpenSSL HeartBleed漏洞自动化检测工具设计和实现.docVIP

下载本文档

5
0
约5.73千字
约 11页
2018-10-07 发布于福建
举报
版权申诉

OpenSSL HeartBleed漏洞自动化检测工具设计和实现.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

OpenSSL HeartBleed漏洞自动化检测工具设计和实现

OpenSSL HeartBleed漏洞自动化检测工具设计和实现　　摘要：OpenSSL在实现心跳逻辑时，存在编码上的缺陷，导致了HeartBleed漏洞的发生。由于在没有正确执行边界检查的前提下，就执行memcpy（）函数调用受害用户输入内容作为长度参数，使得攻击者可以利用该漏洞远程读取存在漏洞版本的OpenSSL服务器内存中多达64KB的数据。论文文通过分析OpenSSL的工作原理，阐明了HeartBleed漏洞产生的根本原因；设计并实现自动化检测工具，判断服务器是否存在该漏洞，并在实际测试中被成功应用。　　关键词：OpenSSL； HeartBleed漏洞；自动化检测　　中图分类号：TP312 文献标识码：A 　　Design and implementation of automated detection tool for openssl heartbleed vulnerability 　　Abstract： Heartbeat logic in OpenSSL has a code flaw， leading to the occurrence of HeartBleed vulnerability. The execution of the memcpy（） function invokes the victim user input content as a length parameter without the proper execution of the boundary check， allowing the attacker to remotely read up to 64KB of data in the OpenSSL server memory where the vulnerability exists. This paper analyzes the principle of OpenSSL and clarifies the root cause of the HeartBleed vulnerability. On this basis， this paper designs and implements the automated detection tool which is successfully applied in the actual test to judge whether the server exists the vulnerability. 　　Key words： OpenSSL； heartbleed vulnerability； automated detection 　　1 引言　　OpenSSL是一款功能?R全的安全套接字层密码库，其作用是为了实现网络通信的加密与认证功能。OpenSSL囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL（Secure Sockets Layer，安全套接层）协议，并提供多样的应用程序供使用，保障了网络通信的安全。　　2014年4月8日，OpenSSL 曝出一种名为HeartBleed （CVE ID：CVE-2014-0160）[1]的严重安全漏洞。该漏洞首先被Google研究员尼尔?梅塔（Neel Mehta）发现，起因是他可以从特定服务器上随机获取64KB的工作日志。利用该漏洞，黑客可直接对个人电脑发起“心脏出血”攻击，从存在漏洞版本的OpenSSL服务器内存中读取请求存储位置之外的多达64 KB的数据，这段内存数据可能包含用户名与密码、证书私钥、重要的商业文档等数据。OpenSSL所具有的强大功能使其被广泛应用于各大网银、在线支付、电商网站、门户网站、电子邮件等领域，因此HeartBleed漏洞势必引发巨大的网络灾难。目前，中国国家信息安全漏洞共享平台（CNVD）将该漏洞定级为“高危”[2]。　　鉴于HeartBleed漏洞的危害程度和影响范围，本文通过研究HeartBleed漏洞原理，设计并编写Python脚本以完成自动化检测的目的[3]，帮助用户能够及时发现安全问题所在，并在最后以内网中一台存在OpenSSL HeartBleed漏洞的主机（试验机）为例，测试了脚本的运行结果。　　2 漏洞原理　　2.1 OpenSSL工作原理　　OpenSSL是一款实现了SSL协议和TLS （Transport Layer Security，安全传输层）协议的开源工具，被广泛地应用于互联网各大应用中。　　SSL协议位于TCP/IP协议与各种应用层协议之间，是Netscape公司所研究开发的一项用于保障网络安全的协议，其通过传输层对网络连接进行加密保护，保