<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Sun, 2 Jul 2017 at 10:42 Florian Weimer <<a href="mailto:fw@deneb.enyo.de">fw@deneb.enyo.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">* Robin Wood:<br>
<br>
> So, are there any practical, walk through, demos attacking SSLv2, v3 or any<br>
> of the other of the crypto that regularly gets written up as weak?<br>
<br>
The SSLv2 truncation vulnerability should be practical to demonstrate,<br>
except it may be tricky to find a HTTPS client which does not<br>
reimplement it on top of later TLS versions.<br></blockquote><div><br></div><div>Do you know any good references to start with for looking at it?</div><div><br></div><div>Your comment highlights a second problem I see with writing up crypto based vulns. Trying to get successful exploitation (from what I can tell) is likely to be very hard in most real world situations as the clients won't use the weak stuff. This gets written up as medium and sometimes even high risk which it sort of is but at the same time isn't due to other mitigations.</div><div><br></div><div>Robin</div></div></div>