BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

相關警告

"此伺服器難以抵禦 BREACH 攻擊。對於跨網站要求,或要求中沒有標頭時,停用 HTTP 壓縮。跟 Crime 漏洞不同,關閉 TLS 壓縮不是一個解決方法。BREACH 利用基本 HTTP 通訊協定中的壓縮。."

問題

Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext (透過可調整的超文字壓縮的瀏覽器偵查和滲透,簡稱 BREACH) 漏洞目標在 HTTP 壓縮。攻擊者操控 HTTP 等級壓縮的使用,從 HTTPS 保護的資料中擷取出資料,包括電子郵件地址、安全權杖和其他純文字字串。

基本上,攻擊者會強制您的瀏覽器連線到已啟用 TLS 的網站。使用 MITM (攻擊中間的人,他們監督您和網站伺服器之間的流量。

解決方法

  • 網頁伺服器
    關閉有 PII (個人身分資料).的頁面的壓縮。
  • 網頁瀏覽器
    強制瀏覽器不邀請 HTTP 壓縮使用。
  • 網頁應用程式
    • 考慮搬移到 Cipher AES128。
    • 移除動態內容的壓縮支援。
    • 減少回應者的秘密。
    • 使用限制速度要求。