Giống như người tiền nhiệm của nó con quái vật tấn công (xem "Ưu tiên RC4 mật mã mật"), may mắn 13 tấn công khai thác lỗ hổng trong việc triển khai SSL/TLS CBC mã hóa. Phân loại như là một cuộc tấn công "padding oracle", may mắn 13 phân tích lỗi trả lại bởi máy chủ (của nó "oracle") sau khi nộp không đúng "padding" — rỗng byte được thêm vào văn bản đơn giản để làm cho chiều dài của nó đồng nhất trước khi mã hóa được áp dụng. (Padding yêu cầu của tất cả các thuật toán mật mã khối.) Một khi những kẻ tấn công đoán đúng padding, thư được mã hoá kết quả có một mô hình tương tự. Kẻ tấn công có thể phân tích nhiều gói dữ liệu để tìm ra mô hình, và do đó giải mã dữ liệu cho một cuộc tấn công MITM.Cuộc tấn công này liên quan đến một số bạo lực: kẻ tấn công phải đoán liên tục cho đến khi hệ phục vụ không trả lại một lỗi, chỉ ra rằng đệm chính xác đã được phát hiện. Như vậy, đệm cuộc tấn công có thể không có được khả thi 10 năm trước đây. Tuy nhiên như kết nối băng thông rộng và máy tính mạnh mẽ trở nên phổ biến, loại tấn công đã trở thành thực tế.Không phải tất cả các ứng dụng web sử dụng HTTPS, Tuy nhiên. Mật mã học nói chung giảm hiệu suất. Để cải thiện hiệu suất trong khi cố gắng để bảo vệ dữ liệu nhạy cảm, có chọn lọc một số ứng dụng web mã hóa mực ứng dụng. Họ mã hóa chỉ cụ thể đầu vào và đầu ra, chẳng hạn như:• Phiên ID• cookie• người dùng cấu hình URL• mật khẩuNhưng nếu các tùy chỉnh có chức năng mã hóa các đầu vào sử dụng cùng nguyên lý như CBC, hoặc không cũng thử nghiệm hoặc nhanh chóng Cập Nhật cho an ninh, họ cũng là dễ bị tổn thương để đệm cuộc tấn công.
đang được dịch, vui lòng đợi..