日子過得很平淡，當你放棄的時候，沒有任何痕跡。根據“心血”安全漏洞的發(fā)現(xiàn)，六年過去了。你還記得最初的恐懼嗎？那天晚上，互聯(lián)網門戶打開了。2014年4月7日，谷歌工程師尼爾默塔(NeelMehta)發(fā)現(xiàn)了一個名為“心血”的開放ssl漏洞:黑客可以通過簡單的方法攻擊，輕易獲得用戶和網站的隱私。這就像一個核彈爆炸，瞬間瓦解了世界上大多數網站的密文傳輸系統(tǒng)。一瞬間，互聯(lián)網行業(yè)面臨著一場血腥的風暴，許多世界知名的互聯(lián)網公司都在顫抖。國內互聯(lián)網公司也陷入混亂，幾乎所有的安全公司和安全團隊都處于忙碌狀態(tài)。甲方公司緊急升級openssl版本，關閉補丁修復核心關鍵業(yè)務；乙方公司夜以繼日地爭取補丁升級、漏洞重測、新環(huán)境部署、新環(huán)境發(fā)布等。openssl的。從事黑制作的黑客也在積極收集數據，獲取更敏感的數據，更好地開展黑制作業(yè)務；雖然src平臺被白帽提交的漏洞屏蔽了…為什么…心臟出血引起了一場大風暴？心痛安全漏洞會削弱SSL和TSL這兩種常見的互聯(lián)網通信協(xié)議的安全性。受Heartbleed影響的網站允許潛在攻擊者讀取用戶的訪問歷史。換句話說，精心策劃的網絡罪犯可以找到用戶的加密密鑰。一旦加密密鑰泄露，惡意攻擊者將能夠獲得入侵系統(tǒng)所需的憑據(包括用戶名和密碼)。在系統(tǒng)內部，入侵者還可以使用與被盜證書相對應的授權級別來發(fā)起更多的后續(xù)攻擊、竊聽通信內容、替換用戶和竊取數據。六年過去了，風暴依舊。自Heartbleed漏洞首次被披露以來，六年已經過去了，但它仍然廣泛存在于許多服務器和系統(tǒng)中。當然，OpenSSL的最新版本已經被修復，但是尚未(或無法)升級到修復版本的OpenSSL系統(tǒng)仍然會受到此漏洞的影響，并且極易受到攻擊。對于惡意攻擊者來說，只要他們能找到Heartbleed漏洞，那么一切都將很容易做到:他們可以自動搜索，然后輕松完成入侵。找到這些易受攻擊的系統(tǒng)后，使用它們的過程非常簡單，從它們那里獲得的信息或憑證也可以幫助它們快速推進其他后續(xù)攻擊。你要做的是，雖然“心臟出血”的攻擊模式很難是