Skip to main content

BREACH

通过自适应超文本压缩进行的浏览器侦查和信息窃取

相关警告

“此服务器易受 BREACH 攻击。对跨网站请求或者当请求中不存在标头时禁用 HTTP 压缩。和 CRIME 漏洞不同,禁用 TLS 压缩无法解决问题。BREACH 会利用基础 HTTP 协议中的压缩。”

问题

“利用超文本自适应压缩算法,进行浏览器侦查和信息窃取 (BREACH)”漏洞的目标是 HTTP 压缩。攻击者利用 HTTP 级别压缩从受 HTTPS 保护的数据提取信息。这些信息包括电子邮件地址、安全口令和其他纯文本字符串。

基本而言,攻击者会强迫您的浏览器连接至启用 TLS 的网站。使用 MITM(中间人攻击),他们监控您和网站服务器之间的通信。

解决方案

  • Web 服务器

    对包含 PII(个人可识别信息)的网页禁用压缩。

  • Web 浏览器

    强迫浏览器不邀请使用 HTTP 压缩。

  • Web 应用

    • 考虑改用 AES-128 加密。

    • 删除对动态内容的压缩支持。

    • 从用户输入中隔离密钥。

    • 使用限制速率的请求。