网络安全面试题-针对当前网络安全的热点事件OPENSSL以及Struts2漏洞 - 高飞网
4人看过

网络安全面试题-针对当前网络安全的热点事件OPENSSL以及Struts2漏洞

2014-04-20 01:25:08

1. 了解不了解openssl?知道最近爆出的openssl漏洞吗?怎么补救?

openssl是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。

OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能,更好的是,它可能已经安装到你的系统中了。
OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。
此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。
2. 了解前端事件的struts2漏洞吗?

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞h,主要问题如下:

  • 可远程执行服务器脚本代码,用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘command’,’goes’,’here’})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。
  • 重定向漏洞,用户可以构造如知名网站淘宝的重定向连接,形如<a href=”http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword”>打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。

 

还没有评论!
54.158.248.167