OpenSSL Heartbleed 漏洞

这几天的OpenSSL的Heartbleed漏洞已经在互联网上炸了锅，虽然看第一时间看了大牛们的“扫盲贴”，虽然大概知道是怎么回事，但是想要达到利用这个程度还是差的太远了。经过这几天的资料查找，总结一下：

       一，查找漏洞：

http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=200129425&idx=1&sn=e459117da307a6844bce65b2e65caf98&uin=MjExNDA1NjU1

       必要条件：服务端支持heartbeat是存在heartbleed漏洞的必要条件，如果判断出某SSL端口不支持heartbeat，那基本上就可以排除风险了。

       文章中给出了检测服务端是否支持heartbeet检测脚本，放入nmap的scripts的目录下面，执行命令 nmap --script ssl-heartbeat -p 443 www.xxx.com

       二，PoC

http://lcx.cc/?i=4275

三，学习

http://blog.csdn.net/youfuchen/article/details/23279547