BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

관련 경고

"이 서버는 BREACH 공격에 취약합니다. 교차 사이트 요청에 대해 또는 요청에 헤더가 없으면 HTTP 압축을 사용 중지합니다. Crime 취약성과 다르게 TLS 압축을 끄는 것은 솔루션이 아닙니다. BREACH는 기본 HTTP 프로토콜의 압축을 악용합니다."

문제점

BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) 취약성은 HTTP 압축을 공격 대상으로 합니다. 공격자는 HTTP 수준 압축의 사용을 조작하여 이메일 주소, 보안 토큰 및 기타 일반 텍스트 문자열을 포함한 HTTPS 보호 데이터에서 정보를 추출합니다.

기본적으로 공격자는 사용자의 브라우저가 TLS 사용 웹사이트에 연결하게 만듭니다. MITM(메시지 가로채기, man-in-the-middle-attack) 공격을 사용하여 사용자와 사이트 서버 사이의 트래픽을 모니터링합니다.

솔루션

  • 웹 서버
    PII(개인 식별 정보, Personally Identifiable Information)를 포함하는 페이지의 압축을 끕니다.
  • 웹 브라우저
    브라우저가 HTTP 압축 사용을 시작하지 않게 합니다.
  • 웹 애플리케이션
    • Cipher AES128로 이동하는 것을 고려합니다.
    • 동적 콘텐츠에 대한 압축 지원을 제거합니다.
    • 응답 본문에서 비밀을 주입니다.
    • 비율 제한 요청을 사용합니다.