1. POODLE漏洞

• 原理：POODLE（Padding Oracle On Downgraded Legacy Encryption）针对SSL 3.0协议。攻击者利用SSL 3.0协议中Padding机制的弱点，通过多次向服务器发送精心构造的请求，观察服务器的响应来逐步解密出密文中的内容。由于SSL 3.0在处理Padding错误时会返回不同的响应，攻击者可借此推断出Padding是否正确，从而实现对加密数据的破解。
• 修复与防范：后续版本（如TLS 1.0及更高版本）移除了SSL 3.0中存在问题的Padding机制，采用更为安全的填充方式，并且禁用SSL 3.0协议，推荐使用更高版本的TLS协议。

2. Heartbleed漏洞

• 原理：Heartbleed漏洞存在于实现了OpenSSL库的TLS协议中。它利用了TLS心跳扩展中的缺陷，攻击者可以构造恶意的心跳请求包，通过指定过大的心跳包长度，使得服务器在响应时会将超出请求长度的数据（包括服务器内存中的敏感信息，如私钥等）返回给攻击者，从而造成信息泄露。
• 修复与防范：OpenSSL发布了更新版本，修复了该漏洞。主要通过对心跳请求中的长度字段进行严格的边界检查，确保请求长度和实际返回的数据长度一致，防止内存越界读取。同时，系统管理员被建议及时更新OpenSSL库到修复版本，并重启相关服务。