如何测试和修复HeartBleed SSL漏洞？

你的网站是否免受心脏出血漏洞的影响？

心脏出血漏洞是一个严重的OpenSSL漏洞，存在于加密软件库中。这使得像网站、电子邮件、即时通信和虚拟专用网络等应用在SSL/TLS加密下暴露敏感信息的风险。

有关详细信息，请参阅此处的Heartbleed bug。

本文将介绍如何测试您的网站应用程序是否存在心脏出血漏洞。

不同OpenSSL版本的状态：

• OpenSSL 1.0.1 到 1.0.1f（包括）存在漏洞
• OpenSSL 1.0.1g 没有漏洞
• OpenSSL 1.0.0 分支没有漏洞
• OpenSSL 0.9.8 分支没有漏洞

如果您使用F5来卸载SSL，则可以refer here来检查是否存在漏洞。

心脏出血测试工具

SSL实验室

Qualys的一个流行的SSL Server Test可以扫描目标，检测50多种与TLS/SSL相关的已知漏洞，包括心脏出血漏洞。在测试结果页面上，您应该会看到以下内容。

Domsignal

Domsignal的TLS扫描器可以帮助您快速测试网站的配置错误和常见的安全漏洞。

OpenSSL

如果您要测试内部网站或不想使用基于云的扫描器，那么可以使用OpenSSL。以下命令应该对您有所帮助。

echo "QUIT"|openssl s_client -connect facebook.com:443 2>&1|grep 'server extension "heartbeat" (id=15)' || echo safe

示例：

[root@lab ~]# echo "QUIT"|openssl s_client -connect yaoweibin.com:443 2>&1|grep 'server extension "heartbeat" (id=15)' || echo safe
safe
[root@lab ~]#

您需要将yaoweibin.com:443替换为您的网站。

修复心脏出血漏洞

修复方法非常简单。您需要完成两件事来修复漏洞。

• 将OpenSSL升级到1.o.1g或更高版本。
• 使用升级后的OpenSSL重新生成CSR，并由证书颁发机构签署。一旦收到签署的证书，请将其应用于您相应的网站服务器或边缘设备。

希望这对您有所帮助。