PHPZlc & Symfony PHPZlc & Symfony
  • 首页 
  • 文档 
  • 博客 
  • 联系我们 
  • 登录 注册
PHPZlc & Symfony PHPZlc & Symfony
登录 注册
PHPZlc & Symfony
  • 首页 
  • 文档 
  • 博客 
  • 联系我们 

类别:

  • Symfony新闻 (7)
  • Symfony博客 (2)
  • PHPZlc动态 (13)
  • PHPZlc博客 (1)
  • 技术分享 (3)

标签

  • symfony
  • BREACH

最新博客:

Symfony的一周(2022 年 5 月 23 日至 29 日)——转载于Symfony 官方博客
2个月前
注册即送主页空间。打造个人专属站点。
2个月前
PHPZlc 2021年 回顾
3个月前
新版SymfonyDoc设计实现方法
3个月前
PHPZlc的一周(2021-10-19-2021-10-24)
3个月前
loading
  1. 首页
  2. 博客
  3. Symfony新闻
  4. Symfony 5.3中的新功能:更好的防御BREACH攻击(中文翻译)
更新于 2022-05-18 17:32:26

类别:

  • Symfony新闻 (7)
  • Symfony博客 (2)
  • PHPZlc动态 (13)
  • PHPZlc博客 (1)
  • 技术分享 (3)

标签

  • symfony
  • BREACH

最新博客:

Symfony的一周(2022 年 5 月 23 日至 29 日)——转载于Symfony 官方博客
2个月前
注册即送主页空间。打造个人专属站点。
2个月前
PHPZlc 2021年 回顾
3个月前
新版SymfonyDoc设计实现方法
3个月前
PHPZlc的一周(2021-10-19-2021-10-24)
3个月前

Symfony 5.3中的新功能:更好的防御BREACH攻击(中文翻译)

CJayhe Symfony新闻 55 views

什么是BREACH攻击?

BREACH是针对HTTPS的安全漏洞。使用HTTP压缩时,可以首先执行盲目的蛮力搜索以猜测几个字节,然后进行分治式搜索以扩展一个字节。对任意数量的内容进行正确的猜测。

简单理解 BREACH: 在传输过程中,可以根据传输过程中的信息包, 推测Cookie等比较敏感的信息。BREACH 就是指通过HTTP压缩这个通道来完成这样的工作。

对策

如果攻击者可以读取您的加密流量的大小,并且还可以发出带有CSRF令牌的任意数量的HTTP请求,则您的站点将受到威胁。缓解此攻击的传统方法是禁用HTTP压缩,这会严重损害性能。

另一个可能的解决方案是确保CSRF令牌包括一些随机性,以防止响应中重复输出。这就是在Symfony 5.3中 CSRF令牌会自动随机化的原因。

该随机化过程对应用程序是透明的,因此您无需配置任何内容,也无需更改应用程序代码。如果由于此攻击而在使用HTTPS时禁用了压缩,请升级到Symfony 5.3并再次启用压缩以提高站点性能。

从长远来看,这是为什么使用像Symfony这样的专业框架会更好的另一个原因。Symfony将保护您的应用程序和用户免受许多常见的安全漏洞的侵害,即使您不知道这些漏洞也是如此。

原文地址

New in Symfony 5.3: Better Protection Against BREACH Attack

CONTENTS
Leaf Illustration

皖ICP备17026196号-3 34020302000197号

© All Rights Reserved by PHPZlc