So sánh lỗ hổng SSL POODLE và SSL Heart Bleed

python

python

VIP Members
20/06/2013
12
61 bài viết
So sánh lỗ hổng SSL POODLE và SSL Heart Bleed
python
attachment.php


Trong vòng khoảng 6 tháng trở lại đây hai lỗ hổng nghiệm trọng liên tục được phát hiện gây lo lắng cho những người dùng giao thức SSL:

OpenSSL:

Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet.
Nhấn để mở rộng...
SSLv3.0:
Thứ Ba (14/10/2014), các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet
Nhấn để mở rộng...
.

Thông tin thêm:

http://whitehat.vn/threads/6065-Huong-dan-kiem-tra-lo-hong-OpenSSL-trong-giao-dich-truc-tuyen.html

Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công trong khi nhiều cổng giao dịch trực tuyến, website ebanking tại Việt Nam sử dụng thư viện này”.
Nhấn để mở rộng...

http://whitehat.vn/threads/6065-Huong-dan-kiem-tra-lo-hong-OpenSSL-trong-giao-dich-truc-tuyen.html
Thứ Ba (14/10), các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet.

Ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav nhận định: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.”
Nhấn để mở rộng...

Theo các bạn lỗ hổng nào nghiêm trọng hơn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phân tích về lỗ hổng CVE-2023-23397 trong Microsoft Outlook
  • Binwalk cơ bản để rà soát CVE-2022-0162 trên TL-WR841N V13
  • Hướng dẫn khai thác lỗ hổng thực thi mã từ xa trong Microsoft Office (CVE-2022-30190)
  • Phân tích lỗ hổng RCE trong các dịch vụ WSO2 (CVE-2022-29464)
  • [Nghi ngờ] Máy in sân bay tân sơn nhất bị tấn công
  • Hồ sơ Meltdown Spectre
    • Bên trên