整个下午我们都处于应急状态中，精神紧绷，这个漏洞影响30-50%比例使用https的网站，其中包括大家经常访问的：支付宝、微信、淘宝、网银、社交、门户等知名网站。 只要访问https的网站便有可能存在被嗅探数据的风险，下午5点左右ZoomEye完成了这个数据扫描：全国443端口：1601250，有33303个受本次OpenSSL漏洞影响！不知道放眼世界，有多少使用https的受到威胁。

OpenSSL是什么？

他为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

OpenSSL漏洞

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

存在该漏洞的版本

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable   OpenSSL 1.0.1g is NOT vulnerable   OpenSSL 1.0.0 branch is NOT vulnerable   OpenSSL 0.9.8 branch is NOT vulnerable

简单的说，黑客可以对使用https(存在此漏洞)的网站发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。

漏洞爆发后

甲方公司运维、安全开始紧急预警修复升级，乙方公司忙着帮互联网去测试有多少网站受影响以及推出检测脚本，网民们却不知情。只能傻傻的看着微博满屏的OpenSSL暴漏洞了！ 黑客们开始搞起来吧！但这确实是一个不眠之夜，太多的网站受到影响，很多用户不知情仍然在访问着老虎嘴中的站点。 懂技术的人开始研究这个漏洞并编写起自己的检测脚本以及嗅探程序，不懂的小黑客们也照猫画虎的玩起这个漏洞，归根结底受害的还是蒙在鼓里的人们。

这个漏洞影响究竟有多大？