Uno strumento esterno può determinare con precisione la vulnerabilità attuale di un sito su Heartbleed? Come? La vulnerabilità è stata riparata? [duplicare]

Naviga le tue risposte
0

Uno strumento esterno può determinare con precisione la vulnerabilità attuale di un sito su Heartbleed? Se é cosi, come? Cosa deve essere testato / testato per? Quali caratteristiche sono richieste?

vvvvvvvvvv UPDATE 1

Quali caratteristiche sono necessarie per determinare se un sito vulnerabile è stato risolto?
Come si determina che è ora di aggiornare la password? Se usiamo uno strumento come quelli menzionati di seguito, che cosa dovrebbe controllare lo strumento? Questo potrebbe includere: Viene utilizzato OpenSSL? La versione di OpenSSL è vulnerabile? Se la versione vulnerabile, è consentito il battito cardiaco? Le chiavi sono state aggiornate?

Suppongo che le password verranno aggiornate. La domanda più ampia di determinare se una password "davvero" debba essere aggiornata è troppo difficile su un gran numero di siti. Mi accontenterò solo sapendo quando posso andare avanti e aggiornarli. Ci sono diversi strumenti disponibili, ma non sono sicuro che siano completi / precisi.

^^^^^^^^^^

Mentre tutti vorremmo sapere per ogni sito durante quale periodo, se mai, era direttamente vulnerabile a Heartbleed, questo è un problema piuttosto difficile. Ancora più desiderabile e difficile: il sito è stato violato e ciò che è stato perso.

Per gli scopi molto più limitati di sapere se è sicuro / tempo per aggiornare una password del sito, dobbiamo determinare se un sito è attualmente vulnerabile a Heartblood o meno. Il "non" può essere dovuto a rimedio o perché il sito non può essere intrinsecamente sfruttato (software diverso) ma ai fini di questa domanda, si supponga che tutte le password del sito vengano modificate ma solo se / quando il rispettivo sito non è attualmente vulnerabili.

Le password anti-deboli hanno fornito l'elenco più completo di correttori di vulnerabilità Heartbleed per i siti (vedi sotto) che ho visto in risposta a: HeartBleed - Come rilevare i siti Web compromessi LastPass ha anche un controllo di vulnerabilità del sito: link ChromeBleed è un'estensione di Chrome per identificare i siti vulnerabili: link

Right now, though, there are several Heartbleed vulnerability detectors/checkers that I'll list for the community.

Qualys SSL Labs is more or less the canonical free SSL test site; they added an experimental Heartbleed test hours ago (and set the security grade to F for every site that's found to be vulnerable.

titanous on github appears to still be under active development, and titanous also released Go programming code for Heartbleed detection, had better messages than Filippo as of this morning, and was last updated 32 minutes ago. It appears to be under the Go license, though I didn't do a full comparison; similar to a BSD 3 clause license.

Filippo.io was one of the first Web sites, and they released their code on github with an MIT license (Go programming language), and was last updated 4 hours ago.

musalbas on github released the Python program "ssltest.py" about 10 hours ago that can do mass/bulk tests in only 178 lines (including a few comments), no license listed. Musalbas also released lists of the results of scanning the top 100, 1000, 10000, and 1 million Internet sites as of about 7 hours ago. This is a variant of Stafford's code.

possible.lv is another web site that does Heartbleed vulnerability scans.

Codenomicon Defensics appears to do detect Heartbleed as well.

@Lekensteyn released the pacemaker python client checker, modified a few hours ago, as well as the original Stafford version of ssltest.py. No specific license is listed.

Metasploit is also gaining Heartbleed tests very rapidly, including both the server check linked here and a client check from @HDMoore and @Lekensteyn.

    
posta BillR 10.04.2014 - 09:54
fonte

1 risposta

0

Can an external tool accurately determine the current vulnerability of a site to Heartbleed? If so, how? What has to be tested/tested for? What features are required?

Affinché un server sia "idoneo" all'attacco Heartbleed, devono essere soddisfatte le seguenti due condizioni:

  • Viene utilizzata una versione di libreria OpenSSL vulnerabile (da 1.0.1 a 1.0.1f). Alcuni produttori eseguono il patch delle versioni intermedie anche se ciò risolverà il problema.
  • L'estensione Heartbeat TLS deve essere pubblicizzata. Se questa estensione è disabilitata, sei non interessato .

Un possibile attacco sarà quindi:

  • Invia una richiesta Heartbeat con una grande lunghezza del payload, senza fornire effettivamente il payload.
  • Un client o un server guasto rispondono quindi con un grande carico utile invece di rimanere in silenzio.

Lo sfruttamento è sempre possibile se le condizioni sono soddisfatte, a meno che non ci sia un IDS in mezzo che blocchi l'heartbeat dannoso.

    
risposta data 10.04.2014 - 10:29
fonte

Leggi altre domande sui tag

nel protocollo IKE; qual è il PRF? [duplicare] Se porto una scansione di un server all'esterno di un firewall, mi dirà anche le porte bloccate dal firewall?