Heartbleed検知スクリプトのバグについて以下の記事を読みました。 Bugs in Heartbleed detection scripts. ちょうど昨日、Heartbleedの検知スクリプトをいくつか読んでブログまで書いたので非常に興味深い内容でした。 この記事の内容を簡単に箇条書きします。 Nessus、Metasploit、NmapなどいろいろなところからHeartbleedを検知する手段(スクリプト)がリリースされているが、そのほとんどにバグがある。実際は脆弱性がある(脆弱性が存在する可能性がある)のに、ないと判定してしまう。実際にいろいろなスクリプトを使って検証していた時に、スクリプトによって判定結果が違うことに気付いた。そこでスクリプトの処理を見たところバグを見つけた。Jared Staffordさんが書いたPoCには、“quick and dirty demonstration” と書いてある。このPoCが他の検知
