OpenSSL在实现心跳逻辑时,存在编码上的缺陷,导致了HeartBleed漏洞的发生。由于在没有正确执行边界检查的前提下,就执行memcpy()函数调用受害用户输入内容作为长度参数,使得攻击者可以利用该漏洞远程读取存在漏洞版本的OpenSSL服务器内存中多达64KB的数据。论文文通过分析OpenSSL的工作原理,阐明了HeartBleed漏洞产生的根本原因;设计并实现自动化检测工具,判断服务器是否存在该漏洞,并在实际测试中被成功应用。

• 单位
  北京邮电大学