Heartbleed bug实验报告
2017-02-24 13:18
190 查看
1.首先打开VM
• Visit https://www.heartbleedlabelgg.com from your browser.• Login as the site administrator. (User Name:admin; Password:seedelgg)
• Add Boby as friend. (Go to More -> Members and click Boby -> Add Friend)
• Send Boby a private message.
2.运行攻击代码
python attack.py www.heartbleedlabelgg.com3.多次运行attack.py,可以获得用户名,以及密码
这里我运行来了大概四次,最终获得了账户名和密码信息。4.将length长度设置为23,22两种情况。
可以看到结果如下:最终可以得出:边界值为22
值得注意的是:
当设置的length值不断减小过后,可以获得的额外信息也减少了。
所以,对于此漏洞,可以增加协议对length的检测,防止length修改,泄露服务器内存信息。