有一个HeartBleed蜜罐让我可以抑制它吗？

Question

我希望提高我的技能，这样做，我需要一个旧的OpenSSL版本的网站，以便我可以做我自己的五倍。

Answer 1

应该很容易创建一个您自己的，这通常是可取的。启动apache，安装一个旧的libssl (在1.0.1f之前)，并给您的安装一个自签名证书。然后，用卷曲产生一些流量。

您应该能够启动您的漏洞，并开始读取内存。

最好在VM中这样做，因为您不希望其他人利用您的测试床。

Answer 2

Cloudflare在cloudflarechallenge.com上运行一些容易导致心脏出血的服务器。

您可以使用nmap验证它：

sudo nmap --script ssl-heartbleed cloudflarechallenge.com -d

443/tcp open  https   syn-ack
| ssl-heartbleed:
|   VULNERABLE:
|   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected by SSL/TLS encryption.
|     State: VULNERABLE
|     Risk factor: High