Как настроить HTTP-сервер Apache с уязвимым OpenSSL

1815
ytliu

Я хочу провести некоторый тест, поэтому я хочу настроить HTTP- сервер Apache с уязвимым OpenSSL (в частности, с ошибкой Heartbleed ), и я бы лучше сделал это из исходного кода.

Как я могу это сделать?

1
Просто используйте уязвимую версию, обязательно добавив расширение heartbeat. Synetech 10 лет назад 0

3 ответа на вопрос

2
asudhak

The quickest way is to use LAMP or WAMP. The inbuilt OpenSSL used there is vulnerable. You don't have to build from source, just to check this out.

1
ScottMcGready

There's an Amazon AMI image available online. Aside from that, just install the version of OpenSSL that Heartbleed is present in. I believe anything below "g" will suffice.

OpenSSL 1.0.1 - 1.0.1f (плюс 1.0.2-бета) являются уязвимыми версиями. Различные версии OpenSSL 0.9.8 все еще находятся в обращении, и установка «pre-g» версии этого не даст вам уязвимый сервер. Mark 10 лет назад 0
1
Lekensteyn

If you just need to set up a vulnerable webserver for testing, then you do not need to bother with Apache. The openssl command already includes all batteries. It is available on (almost) all Linux distributions, Windows packages are probably included with any WAMP package.

The following three commands create a private key, append a self-signed certificate for localhost to it and finally start a HTTPS service that outputs some parameters when visited.

openssl genrsa -out server.pem 1024 openssl req -new -x509 -key server.pem -subj /CN=localhost >> server.pem openssl s_server -www

In your browser (or test program), you can now use the URL https://localhost:4433/.

Похожие вопросы