那些遇到过的问题

小编Jov*_*vic的帖子

Heartbleed“意外消息”

我有一个任务来验证我们公司的软件补丁来解决Heartbleed攻击。

现在,我确定我尝试利用的软件版本使用1.0.1eOpenSSL 库,它应该是易受攻击的。但是,我尝试了多个 Heartbleed 测试工具,他们都说响应中存在错误,并且我的应用程序可能不存在漏洞。

在测试过程中,CardiacArrest工具返回:

[INFO] Connecting to 10.63.62.79:443 using TLSv1.2
[INFO] Sending ClientHello
[INFO] ServerHello received
[INFO] Sending Heartbeat
[INFO] The server received an alert. It is likely not vulnerable.
[INFO] Alert Level: fatal
[INFO] Alert Description: Unexpected message (see RFC 5246 section 7.2)
[INFO] Closing connection
Run Code Online (Sandbox Code Playgroud)

在咨询RFC 5264 后,我发现了有关“意外消息”的更多信息:

意外
消息 收到不适当的消息。此警报始终是致命的,不应在正确实现之间的通信中观察到。

问题:

  • 有人可以对这个结果有更多的了解吗?
  • 可以OpenSSL在没有Heartbeat扩展的情况下编译吗?
  • 有没有办法列出编译成的扩展OpenSSL

非常感谢!

openssl heartbleed

Jov*_*vic
lucky-day
6
推荐指数
1
解决办法
2156
查看次数

标签 统计

heartbleed ×1

openssl ×1