-1

我已阅读http://heartbleed.com/并进行了广泛搜索,但我无法理解这一基本点。

例如,维基百科显示攻击者向易受攻击的服务器发送虚假心跳请求并获得一堆私人数据作为回复,包括 SSL 密钥等: https ://en.wikipedia.org/wiki/Heartbleed

但是,我的问题是:这个攻击者可以是任何人吗?或者攻击者是否已经需要访问服务器上的帐户?

我很惊讶我无法找到此信息,因为在我看来,答案有助于阐明该漏洞对给定服务器的重要性。

例如:如果您有一个小型“私人”服务器,其帐户仅提供给遵循良好安全实践的受信任的人,并且您有理由确定这些帐户没有受到损害,这是否意味着您(最有可能)是明确的?或者攻击者有什么方法可以在不窃取登录信息的情况下获取数据?

4

1 回答 1

0

任何可以连接到服务器的人都可以获得泄露的信息。利用 Heartbleed 的最可能的方法是使用 HTTPS 连接到您的 Web 服务器。由于加密流量通常由 OpenSSL 处理,因此您可以获得用于加密流量的密钥并自行解密。要使用该漏洞利用,您不需要在服务器上拥有用户帐户。

于 2014-04-14T18:16:27.553 回答