攻击者可利用这个漏洞破坏网站加密体系，发起“中间人劫持攻击”，从而窃取HTTPS敏感通信，包括网站密码、信用卡帐号、商业机密、金融数据等。据统计，该漏洞影响了全世界多达1100万个HTTPS网站，其中包括雅虎、阿里巴巴、新浪微博、新浪网、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名网站。

　　漏洞检测：

　　安全无小事，虽然 DROWN 漏洞直接利用成本较高，降低了被攻击的风险，但是如果有其他漏洞配合 DROWN 漏洞进行组合攻击，危害将不可预期。

　　DROWN研究团队提供了在线检测，方便了用户自行检查，检测地址为：

　　https://test.drownattack.com/

　　如果你是一名技术人员，还可以利用一些漏洞检测脚本，比如：

　　OpenSSL提供的检测脚本：

　　https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html

　　DROWN Scanner：

　　不过，这些检测方法并不是百分之百准确的，都存在误报或漏报的可能。

　　DROWN漏洞也许不如Heartbleed漏洞的影响范围广，也比Heartbleed更难理解。但从攻击模式看DROWN可以被动收集加密信息、并在之后再展开在线攻击，DROWN攻击并不要求在信息传输时展开在线攻击，也即DROWN可以攻击离线的加密信息，因此DROWN可以解密之前被认为坚不可破的TLS流量，DROWN的影响和潜在威胁其实远超出预想。