漏洞介绍TLS/SSL介绍:SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。TLS/SSL主要漏洞介绍:1. OpenSSL CCS注入漏洞 (CVE-2014-0224)在客户端和服务端握手阶段,OpenSSL协议不合时宜地接受密码更换说明(ChangeCipherSpec :CCS),而产生了该漏洞。攻击者可以发起中间人攻击并利用此漏洞篡改或监听SSL加密传输的数据。2. Drown跨协议攻击TLS漏洞(CVE-2016-0800)DROWN漏洞主要利用SSLv2协议的脆弱性对TLS协议进行攻击。攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。。3. OpenSSL FREAK Attack漏洞(CVE-2015-0204)攻击者可拦截受影响的客户端与服务器之间的 HTTPS 连接,并强制其使用弱加密。客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥,其中关键在于客户端并没有允许协商任何出口级别的RSA密码套件。当 TLS/SSL 客户端使用较弱的密钥交换方法时,攻击者可破解正在使用的密钥。攻击者使用破解的密钥,可在