The Declaration of hacker (TDOH)








大家好! 我是 HrJ



現任

TDOH  北區召集人

 




兼任

VSsecurity 助理顧問



應該還是


淡大 死大學生







巧遇正咩偷拿手機號碼




社交工程初體驗 -

第一次網路把咩就上手





直接 現場 Demo 吧!







 淺聊 Heartbleed Bug







OpenSSL CVE-2014-0160 嚴重漏洞





駭客們的64kB刮刮樂





駭客們的OPENSSL 無限首抽





高cp值         門檻低



甚麼是 OPENSSL ?






目前很受歡迎的

開源網路加密軟體函式庫(SSL/TLS
)







什麼是SSL/TLS




SSL(Secure Sockets Layer)

對網路的傳輸中對通訊資料進行加密 




TLSr(Tansport Layer Security)


SSL標準化與修改之後的安全傳輸加密協定





何謂 Heartbleed Bug ?














 ssl private key





session cookie





使用者帳密





信用卡資料

 



  • ssl private key
  • session cookie
  • 使用者帳密
  • 信用卡資料






如何檢測呢?

 

使用 ssltest.py





網站檢測






私訊給我幫你 友情檢測







OK ! Let's try it !





Demo time !













災情不限於 Server !




Not only

Cacker  -> Server





Also can

Cacker Server -> Client





各種網路設備





手機 APPs





你的手機





你的PC/NB





and more .......





該如何應對?





如果你是 Server 管理者





確認 OpenSSL 版本是否在受害範圍





使用檢測工具檢測是否含有漏洞





更新至 1.0.9g 以上的版本





重開所有 OpenSSL 函式庫相關之服務





重新產生 SSL Private Key 





將網站舊憑證撤銷





清除所有網頁伺服器上的Session




更換網站內使用者密碼





追蹤是否有盜用情況





清查是否有網路設備也有此漏洞





私訊給我幫你 友情檢測

  • 確認 OpenSSL 版本是否在受害範圍
  • 使用檢測工具檢測是否含有漏洞
  • 更新至 1.0.9g 以上的版本
  • 重開所有 OpenSSL 函式庫相關之服務
  • 重新產生 SSL Private Key 
  • 將網站舊憑證撤銷
  • 清除所有網頁伺服器上的Session
  • 更換網站內使用者密碼
  • 追蹤是否有盜用情況
  • 清查是否有網路設備也有此漏洞





如果你是 一般使用者





使用檢測工具檢測自己的手機/PC/NB





將系統更新至官方最新的版本





檢測目前使用的APP是否有漏洞





更改所有重要網站的帳密





私訊給我幫你 友情檢測



  • 用檢測工具檢測自己的手機/PC/NB
  • 將系統更新至官方最新的版本
  • 上網檢測目前使用的APP是否有漏洞
  • 更改所有重要網站的帳密






希望這次淺談能讓大家有所理解





如有任何問題





歡迎發問或上台補充





私訊給我幫你 友情檢測

little talk for Heartbleed

By hrjk

little talk for Heartbleed

  • 3,725