Ho letto la recente vulnerabilità in openssl . Ho provato a sfruttare uno dei miei server cloud in cui gestisco i miei siti web. Sono riuscito a ottenere 64 KB di dati. Ma quello che sono riuscito a ottenere era solo HTML, CSS, codici PHP. Ma qui afferma:
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Ho alcune domande:
1. Qual era la configurazione del server dei tester?
2. Quali altri dati sensibili possono essere recuperati con questa vulnerabilità?
3. Quali dati sensibili sono archiviati nella RAM di Apache Web Server?