[〜#〜] breach [〜#〜] は、HTTP圧縮を対象としたSSLへの新しい攻撃で、最近公表されました。
いくつかのWebサーバーを管理しています。それらをどのように監査して、BREACHに対して脆弱である可能性があるかを確認できますか?これをチェックするためにWebサーバーをスキャンする簡単な方法はありますか?
(BREACHを防御する方法に関する新たなアドバイスは、HTTP圧縮をオフにするようです。そのため、Webサーバーを監査してHTTP圧縮が無効になっているかどうかを確認する方法で十分かもしれません。執筆時点では、Qualys SSL Labs SSL SSL Pulseページ から利用できるテスターは、これをテストしていないようです。)
厳密な感覚、あなたは本当に一般的なテストを持つことはできません。 HTTPでは、クライアントは Accept-Encoding
ヘッダー行。サーバーは、これらの圧縮スキームを使用できるようになります。 @Adnanは このブログ投稿 を指しています。これは、手動でHTTPリクエストをサーバーに送信し、サーバーの応答を確認する方法を説明しています。監査方法として、HTTP圧縮サポートを確認するには、次の2つの問題があります。
可能な圧縮アルゴリズムの限定的なリストはありません。少なくともgzip
、deflate
およびcompress
が一般的です。 TLSレベルの圧縮では、少なくとも、各「圧縮方法」は1バイトで指定されていたため、可能な圧縮方法は255のみであり(「圧縮なし」の方法は数えません)、網羅的である可能性がありました。これはここでは当てはまりません。
サーバーは、任意のドキュメントに適切と思われるように、圧縮を適用してもしなくてもかまいません。たとえば、 Apacheのドキュメント は、ターゲットドキュメントのタイプだけでなく、サイトディレクトリツリー内の配置に応じて、圧縮するかどうかを決定する方法を示しています。 [〜#〜] iis [〜#〜] は、「静的圧縮」と「動的圧縮」を区別します。静的圧縮は、ディスク上の物理ファイルであるページまたはドキュメントにのみ適用されます。 IISの場合、要求されたページの生成方法に応じて圧縮するかどうかの決定が行われるため、個々のURLごとに異なる場合があります...
攻撃の詳細についてはまだ詳しくありませんが、私はまだfeel本質的に各ターゲットサイトに非常に固有であるかのように感じます。私たちの数日前;すでにパニックに陥り、圧縮の禁止を宣言する必要はありません。最初に、実際の攻撃の詳細をいくつか取得しましょう。言い換えれば、「新興のアドバイス」は私には少し早すぎるようです。