Akamai dots background

泄露攻击

泄露攻击于 2013 年发现。 这类数据泄露结合利用网站使用的数据压缩和加密来加速页面加载时间、节省带宽以及在传输过程中保护数据。 虽然泄露攻击不直接针对 SSL 安全性,但其通过减少 HTTPS 以加密页面标题来影响 SSL 的隐私目标,从而让其他内容易被发现。 通过结合使用暴力破解攻击以及细分和整理技术,黑客可利用泄露攻击来从支持 SSL 的网站提取登录凭据、电子邮件地址和其他敏感、个人可识别信息。

泄露攻击: 漏洞条件和可能的缓解技术

泄露攻击对使用中的 SSL/TLS 协议版本不可知,只要满足以下条件,即对任何类型的密码套件有效:

  • Web 应用程序使用 HTTP 级别的压缩提供,反映 HTTP 响应主体中用户提供的数据和静态机密。
  • 攻击者知道要搜索什么,并能够监控用户和 Web 应用程序间的流量以便恢复 HTTP 回复的长度。
  • 攻击者能够说服用户访问包含恶意脚本的网站,并注入浏览器中间人攻击,此攻击能够向目标网站发送请求。

实际上,通过向 HTTPS 请求中注入纯文本并观察压缩的 HTTPS 响应的长度,攻击者能够反复猜测并从 SSL 流中得出纯文本密码。

只需几千个请求,泄露攻击即可在不到 60 秒内执行;且不存在任何消除漏洞的干净、实用方式。 可能的缓解措施包括禁用 HTTP 压缩,而这会导致性能降低,带宽使用增加;将密码与用户输入分开;或限制向服务器发送请求的速率。 大多数泄露攻击缓解措施特定于应用程序,或需要涉及处理敏感数据的改进的信息安全性最佳实践。 其他预防措施包括在 Web 应用程序上实施漏洞管理并使用 Web 应用程序防火墙检测并阻止恶意客户端。

一种保护您的网站和应用程序的简单而强大的方式

Akamai 随时乐意帮助客户实施适当的防御并讨论针对泄露攻击可能的防御战略的性能影响。 对于我们的平台用户,我们建议使用 Kona Site Defender Web 安全性解决方案产品:

  • 强大的内置 DDoS 缓解,其利用 Akamai Intelligent Platform 的可扩展性在应用程序和网络层同时阻止 DDoS攻击
  • Web 应用程序防火墙,实现对 HTTP/S 流量的深度数据包检测,以便识别并防御 SQL 注入攻击、跨网站脚本以及其他常见的网络攻击
  • 速率控制,可通过监视和控制对我们的服务器和客户源网站的请求速度来阻止应用程序层攻击

进一步了解在 Akamai Intelligent Platform 上构建的 Kona Site Defender 和其他云安全解决方案