Skip to main content

BEAST

Browser Exploit Against SSL/TLS

Alerta relacionado

O servidor está vulnerável ao ataque BEAST.

Problema

O ataque Exploração do navegador contra SSL/TLS (BEAST) afeta os protocolos SSL 2.0, SSL 3.0 e TLS 1.0. Isso permite que um malfeitor descriptografe o conteúdo de uma sessão criptografada por SSL ou criptografada por TLS entre um navegador da web e um site da Web. Quem ataca tira vantagem da fraqueza nos pacotes de codificação baseados em blocos.

Nota

Este é um ataque do lado do cliente em que o invasor precisa controlar o navegador da "vítima". Grande parte dos navegadores é vulnerável ao ataque BEAST.

Em um ataque BEAST, o invasor age como um man-in-the-middle e usa uma entrada de texto simples especialmente criada para descriptografar o conteúdo de uma sessão criptografada por SSL ou TLS entre um navegador da Web e um site. Esse tipo de ataque permite que o invasor recupere informações confidenciais (por exemplo, cookies de autenticação HTTP).

Solução

  • Habilite TLS 1.2 ou TLS 1.3 nos servidores que suportam estes protocolos.

  • Habilite TLS 1.2 ou TLS 1.3 nos navegadores Web que suportam estes protocolos.

Alternativa

Desative todos os conjuntos de criptografia baseados em bloco na configuração SSL/TLS do seu servidor. Apenas use esta alternativa se não conseguir habilitar TLS 1.2 ou TLS 1.3 nos servidores e nos navegadores.