BREACH (Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext)

Thông báo hiển thị:

“The server is vulnerable to the BREACH attack.”

Thông tin

Nhiều Webpage được nén để giảm băng thông và độ trễ trước khi chúng được gửi đi. Server sử dụng thuật toán để nén phần thân của phản hồi HTTP. Trình duyệt sẽ giải nén nó sau đó, rồi xử lý nó về nguyên bản.

Vấn đề

Tấn công BREACH vận dụng các mức nén HTTP để lấy thông tin từ dữ liệu được bảo mật HTTPS, bao gồm địa chỉ email, tokens bảo mật, hoặc một số chuỗi ký tự khác.

Nếu bạn có thể bị tấn công bởi BREACH, bạn sẽ nhận được thông báo.

Giải pháp/Khắc phục

  • Web Server:
    Tắt chức năng nén cho trang web bao gồm cả PII (Personally Identifiable Information).
  • Trình duyệt Web:
    Bắt buộc trình duyệt không sử dụng nén HTTP.
  • Ứng dụng Web:
    • Cân nhắc việc chuyển sang Cipher AES128.
    • Bỏ hỗ trợ nén trên nội dung động.
    • Giảm mức riêng tư trên thông tin phản hồi.
    • Sử dụng yêu cầu giới hạn tốc độ.