<div dir="ltr">Occasionally when I'm doing security tests for clients one will pick me up on a reported vulnerability and ask me to demonstrate it. For things like SQLi or MS17-010 it is fine as they are fairly easy to demonstrate but I was thinking about the crypto weaknesses.<div><br></div><div>I regularly write up SSLv2/v3/RC4 etc as weak but if I were challenged to demonstrate why I couldn't. A friend said it wasn't worth the hassle of demonstrating as I could just point them at all the white papers but I know some people who won't be convinced unless they see something happen, whether that is a message decrypted or traffic modified.</div><div><br></div><div>For smaller firms at least, the argument being that if I, as a professional tester who is paid to do this type of thing, can't do it, then is it worth worrying about it as an issue? Sure, a nation state can do it and researchers in a lab with lots of resources can, but their adversaries are more likely to be script kiddies or, at worst, a customer with a grudge.</div><div><br></div><div>So, are there any practical, walk through, demos attacking SSLv2, v3 or any of the other of the crypto that regularly gets written up as weak? I'd love to have one in my bag that I could get out if I ever were challenged.</div><div><br></div><div>Robin</div></div>