我一直在閱讀關於BREACH attack的消息,並且,我也懷疑是否有什麼東西可以阻止Rails中的這些類型的攻擊。
我發現breach-mitigation-rails,他們說這不是一個防彈解決方案,只是爲了緩解一些攻擊。那邊還有別的東西?如何避免rails中的BREACH攻擊?
5
A
回答
6
BREACH的發言人已經提出a website with further details。列出的緩解,通過有效性排序,有:
- 禁用HTTP壓縮
- 從用戶輸入
- 隨機化祕密分離祕密每個請求
- 掩蔽祕密
- 保護易受傷害的網頁與CSRF
- 長度隱藏
- 速率限制請求
在服務器上可以非常容易地禁用HTTP壓縮,但會降低效率。
該breach-mitigation-rails gem地址點#4和#6。它很可能會打破緩存並增加頁面大小。
Another interesting fix適用於第4點,對效率沒有任何負面影響,但它確實需要JavaScript(可以幫助減少垃圾郵件提交)。
安official fix is also being discussed。
您可能還會發現這個非專門針對特定問題的問題 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done。鋼軌
-1
相關問題
- 1. 如何避免XSS攻擊
- 2. 如何防止ASP.NET MVC Core中的BREACH攻擊?
- 3. 檢查模式以避免XSS攻擊
- 4. 避免拒絕服務攻擊
- 5. Grails/Tomcat:避免拒絕服務攻擊
- 6. 如何在PHP中避免SQL注入和XSS攻擊?
- 7. 如何避免XSS攻擊的應用程序?
- 8. 如何避免使用css x:表達式的XSS攻擊?
- 9. 如何避免與「登錄」社交媒體被黑客攻擊
- 10. 如何避免「跨站點腳本攻擊」
- 11. 如何避免我的ASP.NET應用程序中的SQL注入攻擊?
- 12. 如何避免SQL Server 2008 R2的SSRS中的SQL注入攻擊?
- 13. 如何保護網站免受攻擊
- 14. 如何保護WebRTC免受MitM攻擊?
- 15. 如何加密我的config.raw文件以避免任何形式的攻擊?
- 16. asp.net returnURL頁面驗證,以避免中間人攻擊
- 17. 加密ASP.NET請求和響應以避免「中間人」攻擊
- 18. CakePhp:避免XSS攻擊保持蛋糕的易用性
- 19. 這是可能的攻擊嗎?我可以避免它嗎?
- 20. 試圖避免「Rack :: Protection :: AuthenticityToken報告的攻擊」消息
- 21. 網址檢索服務的最佳做法?如何避免被攻擊媒介?
- 22. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
- 23. PHP和PostgreSQL:避免跨站腳本和SQL注入攻擊
- 24. Ajax控件工具包編輯器控件 - 避免XSS攻擊
- 25. Modsecurity配置(爲了避免誤報SQL注入攻擊)
- 26. MVC3 URL參數 - 避免惡意攻擊/安全漏洞
- 27. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 28. 圖片上傳 - 調整,以避免內容走私攻擊
- 29. 消毒$ _GET參數,以避免XSS和其他攻擊
- 30. 如何應對攻擊xmlrpc.php攻擊
是什麼添加到接受的答案? –
糟糕,我錯過了原始答案中的一個鏈接,抱歉重複。 –