如何避免 Rails 中的 BREACH 攻击?

Posted

技术标签:

【中文标题】如何避免 Rails 中的 BREACH 攻击?【英文标题】:How to avoid BREACH attacks in rails? 【发布时间】:2013-08-09 04:41:26 【问题描述】:

我一直在阅读有关 BREACH attack 的信息,尽管这也是一种涉及服务器级别的 Web 应用程序的攻击,但我想知道 Rails 中是否有阻止此类攻击的方法。 我发现breach-mitigation-rails 他们说这不是一个防弹解决方案,只是为了以某种方式减轻攻击。附近还有什么?

【问题讨论】:

【参考方案1】:

BREACH 的演示者已提交a website with further details。列出的缓解措施(按有效性排序)是:

    禁用 HTTP 压缩 从用户输入中分离秘密 根据请求随机化秘密 掩盖秘密 使用 CSRF 保护易受攻击的页面 长度隐藏 限速请求

HTTP 压缩可以很容易地在服务器上禁用,但会牺牲效率。

breach-mitigation-rails gem 地址点 #4 和 #6。它可能会破坏缓存并增加页面大小。

Another interesting fix 适用于第 4 点,对效率没有任何负面影响,但它确实需要 javascript(无论如何这有助于减少垃圾邮件提交)。

一个official fix is also being discussed。

您可能还会发现这个与 Rails 无关的问题很有趣 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done。

【讨论】:

【参考方案2】:

很好的轨道部分解决方案:

http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach

https://github.com/meldium/breach-mitigation-rails

【讨论】:

糟糕,我错过了原始答案中的链接,抱歉重复。

以上是关于如何避免 Rails 中的 BREACH 攻击?的主要内容,如果未能解决你的问题,请参考以下文章

VulnHub渗透测试实战靶场 - Breach 1.0

Breach 2.0

Breach 2.0

Breach 2.0

Breach 2.0

什么是 XSS 攻击,如何避免?