آسیب پذیری HeartBleed
در سال 2014 آسیب پذیری از کتابخونه Cryptography ( رمزنگاری ) معروف متن باز OpenSSL کشف می شود که موجب می شود از طریق این آسیب پذیری محیط های که برای حفظ حریم خصوصی خود از SSL/TLS استفاده می کنند مانند وب سایت ها، اپلیکیشن ها، ایمیل ها و... را که از نسخه آسیب پذیره OpenSSL استفاده می کنند را به خطر بندازد
آسیب پذیری HeartBleed درواقع توانایی خواندن حافظه Memory یک سیستم را به فرد مهاجم می دهد به این منظور فرد مهاجم توانایی خواندن کلید های خصوصی موجود در سیستم نرم افزار و یا محیط مد نظر را پیدا می کند
این آسیب پذیری در آوریل 2014 کشف شده و با CVE-2014-0160 به ثبت رسیده و انتشار پیدا کرده است
اکسپلویت این ابزار:
https://www.exploit-db.com/exploits/32745
این اکسپلویت به زبان Python2 نوشته شده و پس از اجرا کردن آن شما می توانید نحوه کار این اکسپلویت را ببینید که به شکل زیر می باشد
┌─[AmirHosein@Parrot]─[~/Downloads] └──╼ $python 32745.py Usage: 32745.py server [options] Test for SSL heartbeat vulnerability (CVE-2014-0160) Options: -h, --help show this help message and exit -p PORT, --port=PORT TCP port to test (default: 443)
اصول به کار گیری این اکسپلویت:
python 32745.py [Target-URL]
به صورت عملی بر روی وب سایت یاهو:
python 32745.py Yahoo.com