大家好,欢迎来到IT知识分享网。
什么是BREACH攻击?
BREACH是针对HTTPS的安全漏洞。使用HTTP压缩时,可以首先执行盲目的蛮力搜索以猜测几个字节,然后进行`分治式`搜索以扩展一个字节。对任意数量的内容进行正确的猜测。
对策
如果攻击者可以读取您的加密流量的大小,并且还可以发出带有CSRF令牌的任意数量的HTTP请求,则您的站点将受到威胁。缓解此攻击的传统方法是禁用HTTP压缩,这会严重损害性能。
另一个可能的解决方案是确保CSRF令牌包括一些随机性,以防止响应中重复输出。这就是在Symfony 5.3中 CSRF令牌会自动随机化的原因。
该随机化过程对应用程序是透明的,因此您无需配置任何内容,也无需更改应用程序代码。如果由于此攻击而在使用HTTPS时禁用了压缩,请升级到Symfony 5.3并再次启用压缩以提高站点性能。
从长远来看,这是为什么使用像Symfony这样的专业框架会更好的另一个原因。Symfony将保护您的应用程序和用户免受许多常见的安全漏洞的侵害,即使您不知道这些漏洞也是如此。
官方博客翻译,如有瑕疵,请在评论中指正。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/84613.html
