Tôi đã đọc về BREACH attack và, coi thường là một cuộc tấn công liên quan đến một ứng dụng web ở cấp độ máy chủ, tôi đã tự hỏi nếu có điều gì đó để chặn các loại tấn công trong Rails.
Tôi đã tìm thấy breach-mitigation-rails mà họ nói không phải là giải pháp chống đạn, chỉ để giảm thiểu một cuộc tấn công trong một vài ngày. Cái gì khác xung quanh đó?Làm thế nào để tránh các cuộc tấn công BREACH trong đường ray?
Trả lời
Các diễn giả của BREACH đã đăng ký a website with further details. Các giải pháp giảm thiểu được liệt kê, sắp xếp theo hiệu quả, bao gồm:
- Vô hiệu hóa HTTP nén
- Tách bí mật từ người dùng nhập vào
- bí mật ngẫu nhiên cho mỗi yêu cầu
- Masking bí mật
- Bảo vệ trang dễ bị tổn thương với CSRF
- Độ dài ẩn
- Yêu cầu giới hạn tốc độ
Nén HTTP có thể dễ dàng bị vô hiệu hóa tại máy chủ, với chi phí hiệu quả.
Các địa chỉ breach-mitigation-rails gem điểm # 4 và # 6. Nó có khả năng phá vỡ bộ nhớ đệm và tăng kích thước trang.
Another interesting fix hoạt động trên điểm số 4, không có tác động tiêu cực nào đến hiệu quả, nhưng nó yêu cầu javascript (có thể giúp giảm thiểu việc gửi spam).
An official fix is also being discussed.
Bạn cũng có thể tìm thấy câu hỏi không có đường ray cụ thể này thú vị - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done.
giải pháp phần Nice cho đường ray:
http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach
- 1. Vệ sinh các thông số $ _GET để tránh XSS và các cuộc tấn công khác
- 2. Làm cách nào để tránh các cuộc tấn công SQL injection trong ứng dụng ASP.NET của tôi?
- 3. Ngăn chặn các cuộc tấn công XSS
- 4. Làm thế nào để tránh "Tấn công trên nhiều trang web"
- 5. Làm thế nào để khử trùng mã HTML trong Java để ngăn chặn các cuộc tấn công XSS?
- 6. iOS 5,1 cử chỉ swipe bị tấn công bởi UISplitViewController - làm thế nào để tránh?
- 7. Làm cách nào để kiểm tra URL của bạn cho các cuộc tấn công SQL Injection?
- 8. Làm cách nào để ngăn chặn các cuộc tấn công bạo lực?
- 9. Làm thế nào để bạn ngăn chặn các cuộc tấn công bạo lực trên các dịch vụ dữ liệu RESTful
- 10. Ngăn chặn các cuộc tấn công Javascript và XSS
- 11. Ngăn chặn các cuộc tấn công MITM trên máy chủ
- 12. Có phải htmlencoding là một giải pháp thích hợp để tránh các cuộc tấn công SQL injection không?
- 13. Làm thế nào để người đàn ông trong cuộc tấn công giữa làm việc trong Diffie – Hellman?
- 14. Giải mã cuộc tấn công XSS này
- 15. Tự bảo vệ mình trước các cuộc tấn công Dos
- 16. Làm thế nào để ngăn chặn tấn công phiên tomcat?
- 17. Làm thế nào là cuộc tấn công oracle padding trên ASP.NET cố định?
- 18. Người đàn ông trong cuộc tấn công giữa với scapy
- 19. ngăn chặn cuộc tấn công XSS qua url (PHP)
- 20. Làm thế nào để các tập tin proxy từ S3 thông qua ứng dụng đường ray để tránh leeching?
- 21. Làm thế nào để ngăn chặn tấn công DoS trong các ứng dụng ASP.NET MVC?
- 22. Làm cách nào để ngăn chặn tốt nhất các cuộc tấn công CSRF trong ứng dụng GAE?
- 23. Làm thế nào để tránh nhiều cuộc gọi SQL trong ActiveModel Serializers?
- 24. Làm thế nào để gỡ lỗi công việc resque trong ứng dụng đường ray
- 25. Làm thế nào để gửi lại js.haml trong đường ray
- 26. Giảm thiểu các cuộc tấn công 'firesheep' trong lớp ứng dụng?
- 27. Làm thế nào để tự động gọi các tuyến đường trợ giúp trong đường ray?
- 28. Trợ giúp Deobfuscate Cuộc tấn công JS này
- 29. Làm thế nào để nội tuyến css khi sử dụng đường ray tài sản đường ray
- 30. SSL: Chứng chỉ được bảo vệ chống lại con người trong các cuộc tấn công ở giữa như thế nào?
gì tiện ích này để câu trả lời được chấp nhận? –
Rất tiếc, tôi đã bỏ lỡ một liên kết trong câu trả lời gốc, xin lỗi vì sự trùng lặp. –