如何防止ASP.NET MVC Core中的BREACH攻击?

时间:2016-10-04 18:01:44

标签: breach-attack

我被建议在ASP.NET MVC Core站点中实现以下项目以防止BREACH攻击。你是如何实现它们的?

  • 将秘密与用户输入分开。
  • 随机化每个客户请求中的秘密。
  • 掩盖秘密(通过XORing有效随机化,随机秘密) 请求)。
  • 通过添加任意随机数量来模糊Web响应的长度 字节。

我们已经在每个表单上实施了反跨站点伪造令牌,并关闭了Http Level Compression。

非常感谢任何帮助。

此工具报告:

https://www.acunetix.com/

提前谢谢。

2 个答案:

答案 0 :(得分:2)

我所做的就是在IIS中禁用HTTP压缩,我们的安全扫描不再提出BREACH ATTACH问题。

答案 1 :(得分:2)

如@Isa所述“在IIS中禁用HTTP压缩”

您可以在此article

中找到相关提示

有一个标题为的部分 “如何为网站或应用程序启用或禁用静态和动态压缩”

我已禁用动态压缩,重新测试并通过。