moea_joint
103年
[資訊] 計算機原理、網路概論
第 11 題
近期資通安全領域發現的重大資安漏洞Heartbleed,是屬於下列何者的問題?
- A OpenSSL
- B BASH
- C SSLv3
- D Secure Channel
思路引導 VIP
在探究資安問題時,我們通常會區分「規則的設計(協定)」與「具體的工具(函式庫)」。如果今天一個漏洞是因為某個工程師在撰寫程式碼時,忘記檢查使用者輸入的長度,導致記憶體資料外洩,你認為這個責任應該歸咎於網路通訊的抽象規則,還是負責執行這些規則的那個具體軟體包呢?
🤖
AI 詳解
AI 專屬家教
恭喜你精準地鎖定了正確答案!這題能答對,代表你對資安史上的重大里程碑有著相當紮實的認識。在資安領域中,釐清「漏洞發生的層次」是非常關鍵的基礎能力。
OpenSSL 實作層級的缺陷
Heartbleed 漏洞之所以惡名昭彰,主因在於它存在於廣泛使用的 OpenSSL 密碼學函式庫中。具體來說,這並不是 SSL/TLS 通訊協定邏輯上的錯誤,而是程式碼在實作「心跳擴充功能(Heartbeat Extension)」時,漏掉了對資料長度的邊界檢查。這使得攻擊者能夠偽造請求,從伺服器的記憶體中獲取機密資料,例如私鑰或使用者的帳號密碼。
▼ 還有更多解析內容