用OSSIM平台轻松发现“心脏出血”漏洞

“心脏出血”漏洞作为目前互联网中存在的最为严重网络安全漏洞,攻击者借助“心脏出血”漏洞可以获取用户上网的账户、密码以及网上交易等众多敏感信息,因此我们必须提前测试并对这类漏洞进行修复,从而保证网上交易的安全。下文介绍如何用OSSIM平台来检测“心脏出血”漏洞的具体方法。
首先登陆OSSIM平台的WebUI界面,打开SIEM 控制台菜单。我们通过数据源插件过滤,可发现如下事件

用OSSIM平台轻松发现“心脏出血”漏洞

下面进一步确认这些事件分类。
用OSSIM平台轻松发现“心脏出血”漏洞

包括这些同类事件产生的时间线分布情况
用OSSIM平台轻松发现“心脏出血”漏洞
下面我们分析其中一条心脏出血事件信息
用OSSIM平台轻松发现“心脏出血”漏洞
用OSSIM平台轻松发现“心脏出血”漏洞
如何分析这条事件我们在OSSIM的课程中已经分析过,下面有请发现这条事件的检测规则闪亮登场。
用OSSIM平台轻松发现“心脏出血”漏洞

看到这里大家或许会问,曾经你说过OSSIM平台集成了各种开源安全软件,其中就包括OpenSSL,难道心脏出血漏洞对OSSIM就没有任何影响吗?答案是肯定的,OSSIM平台完全免疫心脏出血漏洞。虽然在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),但是OSSIM使用的是另一个版本的OpenSSL从而“错过”了这种严重漏洞。
在OSSIM中利用漏洞扫描即可发现这种漏洞,不过确保你已经升级最新漏洞库。
用OSSIM平台轻松发现“心脏出血”漏洞
接下来就可以利用我教大家的方法利用OSSIM平台下的OpenVAS模块对目标主机进行漏洞测试,如果发现漏洞大家就会看到类似如图1-5所示的事件。

初学者参考:

http://blog.51cto.com/chenguang/1739879
http://blog.51cto.com/chenguang/1692490