Heartbleed :) 하트블리드

heartbleed 는 2015년 보안 취약점 중 대표적인 취약점이라 할수 있다.

heartbleed 취약점은 공격자가 서버의 메모리의 일부분을 읽어 올 수 있는 openSSL의 취약점으로 요청할때 요청할 단어가 만약 aaa이면 3바이트를 요청하면 되는데 이 보다 더 큰 바이트인 500을 하게 된다면 aaa를 반환하고 남은 메모리를 다른 값으로 뱉어 주는 취약점을 말한다.

취약점을 실습해볼 때에는 

1. https://raw.githubusercontent.com/HackerFantastic/Public/master/exploits/heartbleed.c

여기서 다운을 받은 후 

2.  gcc heartbleed.c -o heartbleed -Wl,-Bstatic -ssl -Wl,-Bdynamic -lssl3 -lcrypto

컴파일 한 후

3. chmod 755 heartbleed 

권한 설정 

사용법은 ./heartbleed -s IP -p Port -f OutputFile -v -t Type

ex) ./heartbleed -s 111.111.111.111 -p 666 -f output -v -t 1

이러한 식으로 사용 하면 된다.

쉽게 heartbleed 를 이해하기 위해서 

http://xkcd.com/1354/