|
Name of Attack
|
CVE id
|
Note
|
Damage Caused
|
|
1
|
SSL Stripping
|
|
|
透过用户接口及通讯协议间的接口漏洞所进行的中间人攻击(man-in-the-middle attack)
|
|
2
|
STARTTLS Command Injection Attack
|
(CVE-2011-0411)
|
|
使”中间人攻击”能够通过发送明文插入加密 SMTP session 指令
|
|
3
|
BEAST
|
(CVE-2011-3389)
|
|
能攻击所有使用 SSL 3.0 和 TLS 1.0 的 CBC 数据块
|
|
4
|
Padding Oracle Attacks
|
(CVE-2013-0169)
|
Lucky Thirteen attack
POODLE attack(CVE-2014-3566)
|
攻击者能够成功地解密任何他们所能截取的加密流量,窃取原本应是加密的 cookies 或 Tokens。
|
|
5
|
Attacks on RC4 |
|
|
只需要以合适的攻击手法就可以得到于 SSL / TLS >加密通路上传输的数据:当中包括如用户凭证、信用卡数据、帐户密码等敏感数据,加密形同虚设。
|
|
6
|
Compression Attacks: CRIME, TIME, and BREACH |
(CVE-2012-4929)
(CVE-2013-3587)
|
|
利用压缩算法,将密文解密。
|
|
7
|
Certificate and RSA-Related Attacks |
(CVE-2003-0147)
|
Bleichenbacher attack
Klima attack
|
攻击未更新的版本。
|
|
8
|
Theft of RSA Private Keys |
|
|
私钥被窃取,传输数据不安全。
|
|
9
|
Diffie-Hellman Parameters |
|
man-in-the-middle (MITM) attacks
|
中间人攻击
|
|
10
|
Renegotiation |
(CVE-2009-3555)
|
|
使得”中间人攻击”能够将数据插入到 HTTPS sessions,和可能的其他类型的sessions。并通过发送一个未经身份验证的请求和服务器在重新谈判,有关的事件如" plaintext injection"攻击,又名" Project Mogul"。
|
|
11
|
Triple Handshake |
(CVE-2014-1295) |
man-in-the-middle,
breaking safe
renegotiation,
breaking channel binding via TLS Exporter
"tls-unique"
|
“中间人攻击”能够获取敏感信息或w透过" triple handshake attack"修改 TLS session data。
|
|
12
|
Virtual Host Confusion |
|
|
攻击者建立一个虚拟主机环境滥用恶意的连接,使缓存的数据被窃取。
|
|
13
|
Denial of Service |
|
"botnets" DoS & DDoS
|
殭尸网络
|
|
14
|
Implementation Issues |
(CVE-2013-2191)
(CVE-2014-0160)
|
Heartbleed attack (CVE-2014-0160)
|
内存中最严重可能包含 ssl private key、session cookie、用户密码等,因此可能因为这样的漏洞导致服务器遭到入侵或取得使用者账号。
|
|
15
|
Usability |
|
UI dialog
|
利用用户行为解密,获取加密信息。
|