Heartbleed 익스플로잇의 전제 조건은 무엇입니까?

Question

나는 http://heartbleed.com/을 읽고 광범위하게 검색했으며이 기본 점을 이해할 수 없습니다. https://en.wikipedia.org/wiki/Heartbleed

그러나, 나는이 질문은 다음과 같습니다 :

예를 들어

는 위키 백과는 공격자가 취약한 서버에 가짜 하트 비트 요청을 전송하고 SSL 키 등을 포함하여 회신에 개인 데이터의 무리를 얻기를 보여줍니다이 수 공격자가 누구야? 아니면 공격자가 이미 서버의 계정에 액세스해야합니까?

이 정보는 특정 서버에 대한 취약점의 중요성을 명확히하는 데 도움이되기 때문에이 정보를 찾는 데 어려움이 있습니다.

예 : 좋은 보안 관행을 따르는 신뢰할 수있는 사람에게만 제공되는 계정이있는 "개인"서버가 있고이 계정이 손상되지 않았다고 확신 할 수 있다면 그 사람이 (대부분) 클리어? 아니면 공격자가 로그인을 도용하지 않고도 데이터를 가져올 수있는 방법이 있습니까?

Answer 1

서버에 연결할 수있는 사람이면으로 누출 된 정보가 누출 될 수 있습니다. Heartbleed를 악용하는 가장 가능성있는 방법은 HTTPS를 사용하여 웹 서버에 연결하는 것입니다. 트래픽 암호화는 일반적으로 OpenSSL에서 처리되므로 트래픽을 암호화하고 해독하는 데 사용되는 비밀 키를 얻을 수 있습니다. 익스플로잇을 사용하려면 서버에 사용자 계정이있을 필요가 없습니다.