BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

相关警告

"此服务器易受 BREACH 攻击。对跨网站请求或者当请求中不存在标头时禁用 HTTP 压缩。和 Crime 漏洞不同,禁用 TLS 压缩无法解决问题。BREACH 会利用基础 HTTP 协议中的压缩。"

问题

“利用超文本自适应压缩算法,进行浏览器侦查和信息窃取 (BREACH)”漏洞的目标是 HTTP 压缩。攻击者利用 HTTP 级别压缩从受 HTTPS 保护的数据提取信息,包括电子邮件地址、安全口令和其他纯文本字符串。

基本而言,攻击者会强迫您的浏览器连接至启用 TLS 的网站。使用 MITM(中间人攻击,他们监控您和网站服务器之间的通信。

解决方案

  • Web 服务器
    对包含 PII(个人可识别信息)的网页禁用压缩。
  • Web 浏览器
    强迫浏览器不邀请使用 HTTP 压缩。
  • Web 应用
    • 考虑改用 AES128 加密。
    • 删除对动态内容的压缩支持。
    • 减少响应主体中的密码。
    • 使用限制速率的请求。