Войти
Официальный логотип BREACH (обратное обозначение : Разведка браузера и эксфильтрация через Adaptive Сжатие гипертекста ) - это эксплойт безопасности против HTTPS при использовании HTTP-сжатия. BREACH построен на основе уязвимости безопасности CRIME. BREACH было объявлено на конференции Black Hat в августе 2013 г. исследователями безопасности Анджело Прадо, штат Нью-Йорк. Эл Харрис и Йоэль Глюк. Идея обсуждалась в сообществе перед объявлением.
Во время атаки CRIME была представлена как общая атака, которая могла эффективно работать против большого количества протоколов, были продемонстрированы только эксплойты против сжатия запросов SPDY и сжатия TLS, которые в значительной степени смягчены в браузерах и серверах. Эксплойт CRIME против HTTP-сжатия вообще не был устранен, хотя авторы CRIME предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые.
BREACH - это пример атаки CRIME на сжатие HTTP - использование алгоритмов сжатия данных gzip или DEFLATE с помощью опции кодирования содержимого в HTTP. многими веб-браузерами и серверами. Учитывая этот оракул сжатия, остальная часть атаки BREACH следует тем же основным принципам, что и эксплойт CRIME, путем выполнения начального слепого перебора, чтобы угадать несколько байтов, с последующим разделением и -conquer поиск, чтобы расширить правильное предположение до сколь угодно большого количества контента.
BREACH использует сжатие в основном протоколе HTTP. Следовательно, отключение сжатия TLS не имеет значения для BREACH, который по-прежнему может выполнять атаку с выбранным открытым текстом на полезную нагрузку HTTP.
В результате клиенты и серверы либо вынуждены отключать Полное сжатие HTTP (что снижает производительность) или использовать обходные пути, чтобы попытаться предотвратить BREACH в отдельных сценариях атаки, например, используя защиту от подделки межсайтовых запросов (CSRF).
Другой предложенный подход заключается в отключении HTTP-сжатия всякий раз, когда заголовок реферера указывает на межсайтовый запрос или когда заголовок отсутствует. Такой подход позволяет эффективно нейтрализовать атаку без потери функциональности, только снижая производительность затронутых запросов.
Другой подход - добавить заполнение на уровне TLS, HTTP-заголовка или полезной нагрузки. Примерно в 2013–2014 гг. Был разработан проект предложения IETF для расширения TLS для заполнения, скрывающего длину, которое теоретически можно было бы использовать в качестве защиты от этой атаки. Это позволяет замаскировать фактическую длину полезной нагрузки TLS путем вставки дополнения, чтобы округлить ее до фиксированного набора длин, или рандомизировать внешнюю длину, тем самым уменьшая вероятность обнаружения небольших изменений в степени сжатия, которая является основой для атаки BREACH. Однако срок действия этого черновика истек без каких-либо дальнейших действий.
