2015年 第27周 微信公众号精选安全技术文章总览

洞见网安 2015-7-6

0x1 OpenSSL最新证书伪造漏洞分析，再次出血！？

ADLab 2015-07-10T23:04:20

本周初，OpenSSL发布了一份公告，计划在周四修复一个高危漏洞。7月9号12点，安全更新如期发布，并公开了漏洞的详细信息。该漏洞编号为CVE-2015-1793，是一个证书验证漏洞，影响部分OpenSSL版本：1.0.2c、1.0.2b、1.0.1n和1.0.1o。此漏洞允许攻击者通过假冒证书绕过验证环节，将不信任的证书视为有效。通过对1.0.2c和1.0.2d版本的分析发现，补丁主要修改了五个函数，其中X509_verify_cert函数最为关键，新增了对ctx->chain的检测以防止无效证书被误认为有效。这与OpenSSL在GitHub上的说明一致。利用此漏洞，黑客可以进行钓鱼攻击或盗用通信数据，且攻击难以被察觉。为了防护，官方建议用户升级到不受影响的版本，即1.0.1p（针对1.0.1n和1.0.1o用户）和1.0.2d（针对1.0.2b和1.0.2c用户）。

OpenSSL 漏洞 证书伪造 X509 证书验证 网络安全更新 钓鱼攻击 版本升级

0x2 又一个“心脏滴血”？OpenSSL明日将发布安全补丁，修复未披露的0day高危漏洞

安信天行 2015-07-08T17:31:01

OpenSSL官方发布漏洞预警，提醒系统管理员做好OpenSSL的升级准备。最新版本OpenSSL将于7月9

0x3 深度阅读：追踪隐藏在暗网中的匿名者

安信天行 2015-07-06T17:31:57

Tor用户是如何被确定身份的？纵观暗网的发展史，总有人尝试各种方法挖出匿名用户的真实身份。姑且可以把攻击手段

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。