BREACH
透過超文字的調適型壓縮的瀏覽器偵察和外流
相關警告
"此伺服器難以抵禦 BREACH 攻擊。對於跨網站要求,或要求中沒有標頭時,停用 HTTP 壓縮。跟 CRIME 漏洞不同,關閉 TLS 壓縮不是一個解決方案。BREACH 利用基本 HTTP 通訊協定中的壓縮。"
問題
Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext (透過可調整的超文字壓縮的瀏覽器偵查和滲透,簡稱 BREACH) 漏洞目標在 HTTP 壓縮。攻擊者操控 HTTP 層級的壓縮使用,以便解壓縮將來自 HTTPS 保護資料的資訊。這些資訊包括電郵地址、安全權杖和其他純文字字串。
基本上,攻擊者會強制您的瀏覽器連線到已啟用 TLS 的網站。使用 MITM (攻擊中間的人),他們監督您和網站伺服器之間的流量。
解決方案
網頁伺服器
關閉有 PII (個人身分資料) 的頁面的壓縮。
網頁瀏覽器
強制瀏覽器不邀請 HTTP 壓縮使用。
網頁應用程式
考慮搬移到 Cipher AES-128。
移除動態內容的壓縮支援。
區分使用者輸入的密碼。
使用限制速度要求。