BREACH

通过自适应超文本压缩进行的浏览器侦查和信息窃取

相关警告

"此服务器易受 BREACH 攻击。对跨网站请求或者当请求中不存在标头时禁用 HTTP 压缩。和 Crime 漏洞不同,禁用 TLS 压缩无法解决问题。BREACH 会利用基础 HTTP 协议中的压缩。"

问题

“利用超文本自适应压缩算法,进行浏览器侦查和信息窃取 (BREACH)”漏洞的目标是 HTTP 压缩。攻击者利用 HTTP 级别压缩从受 HTTPS 保护的数据提取信息,包括电子邮件地址、安全口令和其他纯文本字符串。

基本而言,攻击者会强迫您的浏览器连接至启用 TLS 的网站。使用 MITM(中间人攻击,他们监控您和网站服务器之间的通信。

解决方案

  • Web 服务器
    对包含 PII(个人可识别信息)的网页禁用压缩。
  • Web 浏览器
    强迫浏览器不邀请使用 HTTP 压缩。
  • Web 应用
    • 考虑改用 AES128 加密。
    • 删除对动态内容的压缩支持。
    • 减少响应主体中的密码。
    • 使用限制速率的请求。