Facebook近日在博客中公布了如何防御BREACH(通過自適應(yīng)超文本壓縮進(jìn)行的瀏覽器偵測與漏出)攻擊。

[[113497]]

BREACH攻擊與企業(yè)處理CSRF(跨站請求偽造)攻擊時(shí)采用的安全措施有關(guān)，BREACH專門針對那些擁有用戶賬戶的網(wǎng)站。

在CSRF攻擊中，攻擊者會假冒用戶并讓用戶的瀏覽器發(fā)送垃圾信息或者以web請求的方式竊取用戶在網(wǎng)絡(luò)上的賬戶。

而Facebook這樣的公司則會利用CSRF令牌來標(biāo)記真實(shí)用戶或被黑賬戶，來防止攻擊。但是在新的BREACH攻擊面前這種方法失靈了。在一些環(huán)境中，網(wǎng)頁獲取壓縮超文本的方式使得黑客能夠發(fā)現(xiàn)用戶的CSRF證書，即使用戶與網(wǎng)站之間的通訊采取了加密措施也無濟(jì)于事。

Facebook目前通過在CSRF令牌中增加一個(gè)新的安全層來對付BREACH攻擊，具體做法如下：

某用戶一天中如果產(chǎn)生了三個(gè)Facebook會話，那么每個(gè)會話都會受到一個(gè)同樣的CSRF令牌，如今Facebook的系統(tǒng)會為每一次用戶請求發(fā)放一個(gè)新的令牌，這些新令牌通過24位鹽化隨機(jī)產(chǎn)生，“鹽”是令牌結(jié)尾最后四個(gè)字母。這能夠徹底避免令牌的重復(fù)問題。新的令牌發(fā)布后，此前的令牌還將保持幾天有效期，這意味著同一時(shí)期會有多個(gè)令牌處于有效期。

據(jù)Facebook安全與基礎(chǔ)架構(gòu)團(tuán)隊(duì)介紹，在CSRF令牌中引入隨機(jī)字母序列的做法足以挫敗依賴令牌重復(fù)性的BREACH攻擊。