hrjk
TDOHacker 北區召集人兼創辦人 (slides.com/hrjk下的所有簡報皆採用創用 CC 姓名標示-非商業性-相同方式分享 4.0 國際 授權條款授權.)
The Declaration of hacker (TDOH)
大家好! 我是 HrJ
現任
TDOH 北區召集人
兼任
VSsecurity 助理顧問
應該還是
淡大 死大學生
巧遇正咩、偷拿手機號碼
社交工程初體驗 -
第一次網路把咩就上手
直接 現場 Demo 吧!
OpenSSL CVE-2014-0160 嚴重漏洞
駭客們的64kB刮刮樂
駭客們的OPENSSL 無限首抽
高cp值 門檻低
甚麼是 OPENSSL ?
目前很受歡迎的
開源網路加密軟體函式庫(SSL/TLS)
什麼是SSL/TLS?
SSL(Secure Sockets Layer)
對網路的傳輸中對通訊資料進行加密
TLSr(Tansport Layer Security)
將SSL標準化與修改之後的安全傳輸加密協定
何謂 Heartbleed Bug ?
ssl private key
session cookie
使用者帳密
信用卡資料
- ssl private key
- session cookie
- 使用者帳密
-
信用卡資料
該如何檢測呢?
使用 ssltest.py
網站檢測
私訊給我幫你 友情檢測
OK ! Let's try it !
Demo time !
災情不限於 Server !
Not only
Cacker -> Server
Also can
Cacker Server -> Client
各種網路設備
手機 APPs
你的手機
你的PC/NB
and more .......
該如何應對?
如果你是 Server 管理者
確認 OpenSSL 版本是否在受害範圍
使用檢測工具檢測是否含有漏洞
更新至 1.0.9g 以上的版本
重開所有 OpenSSL 函式庫相關之服務
重新產生 SSL Private Key
將網站舊憑證撤銷
清除所有網頁伺服器上的Session
更換網站內使用者密碼
追蹤是否有盜用情況
清查是否有網路設備也有此漏洞
私訊給我幫你 友情檢測
- 確認 OpenSSL 版本是否在受害範圍
- 使用檢測工具檢測是否含有漏洞
- 更新至 1.0.9g 以上的版本
- 重開所有 OpenSSL 函式庫相關之服務
- 重新產生 SSL Private Key
- 將網站舊憑證撤銷
- 清除所有網頁伺服器上的Session
- 更換網站內使用者密碼
- 追蹤是否有盜用情況
-
清查是否有網路設備也有此漏洞
如果你是 一般使用者
使用檢測工具檢測自己的手機/PC/NB
將系統更新至官方最新的版本
檢測目前使用的APP是否有漏洞
更改所有重要網站的帳密
私訊給我幫你 友情檢測
-
用檢測工具檢測自己的手機/PC/NB
-
將系統更新至官方最新的版本
-
上網檢測目前使用的APP是否有漏洞
-
更改所有重要網站的帳密
希望這次淺談能讓大家有所理解
如有任何問題
歡迎發問或上台補充
私訊給我幫你 友情檢測
little talk for Heartbleed
By hrjk
