第一百四十九章 裸奔因特网(2 / 2)
徐冰冰抬起眼皮看了看他:“其实事情可能比你们想的还严重,既然这台服务器能够转发交易登录的信息,那很可能入侵者已经拿到了不少交易账户!!”她没直接说交易账户的密码被盗,用不着明说,大伙都能听懂。
起码王之杰是听懂了,但他有点不服气:“我们的交易账号和密码是ssl安全加密,只能经由柜台校验,何况手机登陆的服务器与柜台直接还有一台交易服务器做安全过滤呢。”
徐冰冰淡淡地问:“ssl加密就一定安全么,我看不见得吧?”她把面前的笔记本掉了个个儿,推到王志军和李长风面前,“别的不敢说,单单在这里,你们就可以看到,我们之前认为无比安全的ssl所谓‘安全加密’,其实就藏着一个巨大的漏洞!”
她说得虽然郑重,但李长风和王之杰只是将信将疑,尤其是李长风,作为一个出来混了十几年的老手,常用的加密手段他都算接触过,ssl在他的认知里几乎无懈可击!现在突然听说了一个“巨大的漏洞”,这种反差,就好像看惯了文章在荧幕上演惯了好丈夫好爸爸,却突然爆出劈腿丑闻一样……
然而一看之下,李长风脸就黑了!
王之杰比较嫩,似乎没全部看懂,还反驳了一句:“徐警官,这……这确实算是一个漏洞,但一台服务器的内存起码都是4G起,现在多得是64G内存的巨无霸,这个漏洞一次只泄漏64K的内存数据,不会那么巧就抓取到账号密码吧?”
【作者注:这个ssl漏洞是真实存在的,现在俗称“心脏出血”漏洞。SSL标准中包含了一个心跳选项,它可以允许处于SSL连接一端的电脑发送短信息,确认另一台电脑仍然在线,并给与回应,在这个回应的过程中可以泄漏64k的内存信息。】徐冰冰笑了笑:“王工,你想得太简单了,对于高水平的黑客来说,哪怕只泄漏一比特的字节,有时候都够了!”想了想,又补了一句,“你可以在这个网站上再查查第599号漏洞,那是个缓冲区假清空漏洞【作者注:一个处于传说中的漏洞,让服务器忘记当前客户端已经请求过,在高级的DDOS攻击中,能做到这一点则可以绕开绝大部分的安全策略】,基于tcp/ip协议,可以完美地欺骗目标服务器,不断地发起ssl请求。”
已经说得很清楚了,一次只能泄漏64k不是重点,如果加上无限制地请求,即使不能遍历内存,起码能拿到大部分信息了!
这把王之杰的脸也黑了。
李长风的脸却已经慢慢放晴,他在笔记本键盘上敲了敲,以极快的速度看了几个页面,问道:“这个是什么网站,雨默?”
一个没听说过的网站。
徐冰冰点点头:“这个网站早上才出现的,第一批放出来的漏洞,乌云漏洞报告平台已经大部分证实了。”
“从这些漏洞的介绍看,如果都是真的,那因特网简直没有设防!”李长风长吸一口气,冷气!
他心里在说,全世界的菜鸟和所谓的“电脑高手”们,一直都在开着杀毒软件在因特网上裸奔!
徐冰冰也叹口气,然后嘴边露出一丝微笑:“你看,我需要处理的事情很多,金证这块,我们第二支队是一个人也派不出来了,但我可以给你们推荐一下这家雨默公司。”
↑返回顶部↑