C/C++ 漏洞挖掘示例

我们提供的是著名漏洞——心脏出血漏洞(Heartbleed)。

心脏出血漏洞（英语：Heartbleed bug），也简称为心血漏洞，是一个出现在加密程序库OpenSSL的安全漏洞，该程序库广泛用于实现互联网的传输层安全（TLS）协议。它于2012年被引入了OpenSSL中，2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例，无论是服务器还是客户端，都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证（缺少边界检查），因此漏洞的名称来源于“心跳”（heartbeat）。该程序错误属于缓冲区过读，即可以读取的数据比应该允许读取的还多。

心脏出血在通用漏洞披露（CVE）系统中的编号为CVE-2014-0160。加拿大网络事故响应中心发布安全公告，提醒系统管理员注意漏洞。2014年4月7日，即漏洞公开披露的同一天，OpenSSL发布了修复后的版本。

截至2014年5月20日，在80万最热门的启用TLS的网站中，仍有1.5％易受心脏出血漏洞的攻击。

在了解过该漏洞之后，我们来看如何配置该项目，使其可以运行在FuzzX上。

项目配置

如果您已经按照上边的链接进行完了项目配置，就该考虑如何进行挖掘漏洞了：

挖掘漏洞

再报告出漏洞之后，您应该通过以下方式修复：

漏洞修复

以上就是使用FuzzX平台进行漏洞挖掘与修复的全部流程了。了解更多请看开发文档部分。