我刚刚读了这篇文档http://www.kb.cert.org/vuls/id/987798 我的问题是,为什么不添加一些随机的各种长度的HTTP标头,如
HTTP 200 OK
Cache-Control:public, max-age=60
Content-Encoding:gzip
Content-Length:11669
Content-Type:text/html; charset=utf-8
asdfnak4r9q38:asdbf2984rqf // Header with random name and random value with various length
我们也可以在html head部分添加一些随机数据。
为什么我错了?为什么这个解决方案可能不起作用?
由于
答案 0 :(得分:1)
假设您的随机标题的长度是均匀分布的,那么您只需添加噪声,这会增加确定猜测所需的请求数量,而不会实际减轻攻击。
如果每次猜测都被重放足够多次以均衡随机长度标头引入的熵,那么正确的猜测仍然会比不正确的猜测更短。
与CRIME和TIME攻击一样,修复仍然是禁用HTTP压缩。