|
Name of Attack
|
CVE id
|
Note
|
Damage Caused
|
|
1
|
SSL Stripping
|
|
|
透過使用者介面及通訊協定間的介面漏洞所進行的中間人攻擊(man-in-the-middle attack)
|
|
2
|
STARTTLS Command Injection Attack
|
(CVE-2011-0411)
|
|
使”中間人攻擊”能夠通過發送明文插入加密 SMTP session 指令
|
|
3
|
BEAST
|
(CVE-2011-3389)
|
|
能攻擊所有使用 SSL 3.0 和 TLS 1.0 的 CBC 資料塊
|
|
4
|
Padding Oracle Attacks
|
(CVE-2013-0169)
|
Lucky Thirteen attack
POODLE attack(CVE-2014-3566)
|
攻擊者能夠成功地解密任何他們所能截取的加密流量,竊取原本應是加密的 cookies 或 Tokens。
|
|
5
|
Attacks on RC4 |
|
|
只需要以合適的攻擊手法就可以得到於 SSL / TLS >加密通路上傳輸的資料:當中包括如使用者憑證、信用卡資料、帳戶密碼等敏感性資料,加密形同虛設。
|
|
6
|
Compression Attacks: CRIME, TIME, and BREACH |
(CVE-2012-4929)
(CVE-2013-3587)
|
|
利用壓縮演算法,將密文解密。
|
|
7
|
Certificate and RSA-Related Attacks |
(CVE-2003-0147)
|
Bleichenbacher attack
Klima attack
|
攻擊未更新的版本。
|
|
8
|
Theft of RSA Private Keys |
|
|
私密金鑰被竊取,傳輸資料不安全。
|
|
9
|
Diffie-Hellman Parameters |
|
man-in-the-middle (MITM) attacks
|
中間人攻擊
|
|
10
|
Renegotiation |
(CVE-2009-3555)
|
|
使得”中間人攻擊”能夠將資料插入到 HTTPS sessions,和可能的其他類型的sessions。並通過發送一個未經身份驗證的請求和伺服器在重新談判,有關的事件如" plaintext injection"攻擊,又名" Project Mogul"。
|
|
11
|
Triple Handshake |
(CVE-2014-1295) |
man-in-the-middle,
breaking safe
renegotiation,
breaking channel binding via TLS Exporter
"tls-unique"
|
“中間人攻擊”能夠獲取敏感資訊或w透過" triple handshake attack"修改 TLS session data。
|
|
12
|
Virtual Host Confusion |
|
|
攻擊者建立一個虛擬主機環境濫用惡意的連接,使緩存的資料被竊取。
|
|
13
|
Denial of Service |
|
"botnets" DoS & DDoS
|
殭屍網路
|
|
14
|
Implementation Issues |
(CVE-2013-2191)
(CVE-2014-0160)
|
Heartbleed attack (CVE-2014-0160)
|
記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
|
|
15
|
Usability |
|
UI dialog
|
利用使用者行為解密,獲取加密資訊。
|