fbpx
Wikipedia

BREACH (ataque)

Agosto 04, 2021

BREACH (un acrónimo de Reconocimiento de Browser y exfiltración mediante Compresión adaptable de hipertexto) es un exploit de seguridad HTTPS cuando se utiliza la compresión HTTP. BREACH se construyó basándose en el exploit de seguridad CRIME. BREACH fue anunciado en la conferencia Black Hat de agosto de 2013 por los investigadores de seguridad Angelo Prado, Neal Harris y Yoel Gluck.[1]

Detalles

Si bien el ataque CRIME fue presentado como un ataque general que podría funcionar con eficacia contra un gran número de protocolos solo exploits contra compresión de solicitudes SPDY y compresión TLS fueron demostradas y en gran medida mitigadas en navegadores y servidores. El exploit CRIME contra la compresión HTTP no se ha mitigado en absoluto, a pesar de que los autores del crimen han advertido que esta vulnerabilidad podría ser aún más extendida que SPDY y compresión TLS combinados.

BREACH es una instancia del ataque CRIME contra la compresión HTTP - el uso por muchos navegador web y servidores web de algoritmos de compresión gzip o DEFLATE a través de la opción de la codificación de contenido dentro de HTTP.[2]​ Dado este oráculo de compresión, el resto del ataque BREACH sigue las mismas líneas generales que el exploit CRIME, mediante la realización de una búsqueda inicial de fuerza bruta ciega para adivinar unos pocos bytes, seguido por una búsqueda de divide-y-vencerás para expandir un acierto a una gran cantidad de contenido arbitraria.

BREACH explota la compresión en el protocolo HTTP subyacente. Por lo tanto, la desactivación de la compresión TLS no hace ninguna diferencia a BREACH, que todavía puede realizar un ataque de texto plano escogido en contra de la carga útil de HTTP.[3]

Mitigación

Como resultado, los clientes y los servidores están obligados, ya sea a desactivar la compresión HTTP por completo, reduciendo el rendimiento, o a adoptar soluciones elaboradas para tratar de frustrar BREACH en escenarios de ataque individuales, como el uso de protección de falsificación de petición en sitios cruzados (CSRF).[4]

Otro enfoque sugerido es desactivar la compresión HTTP cada vez que la cabecera indica una petición entre sitios cruzados, o cuando la cabecera no está presente.[5]​ Este enfoque permite una mitigación eficaz del ataque sin perder funcionalidad, solo incurrir en una penalización de rendimiento en las solicitudes afectadas.

Referencias

  1. Goodin, Dan (1 de agosto de 2013). «Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages». 
  2. Goodin, Dan (1 de agosto de 2013). «Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages». Ars Technica. 
  3. Angelo Prado, Neal Harris and Yoel Gluck. «SSL, gone in 30 seconds: A BREACH beyond CRIME». Consultado el 7 de septiembre de 2013. 
  4. Omar Santos (6 de agosto de 2013). «BREACH, CRIME and Black Hat». Cisco. 
  5. Ivan Ristic (14 de octubre de 2013). «Defending against the BREACH Attack». Qualys.com. Consultado el 25 de noviembre de 2013. 
    manu (14 de octubre de 2013). «BREACH mitigation». Qualys Community. Consultado el 25 de noviembre de 2013. 

Enlaces externos

  • Herramienta que ejecuta el ataque BREACH demostrado en BlackHat 2013
  •   Datos: Q15700545

Agosto 04, 2021
breach, ataque, breach, acrónimo, reconocimiento, browser, exfiltración, mediante, compresión, adaptable, hipertexto, exploit, seguridad, https, cuando, utiliza, compresión, http, breach, construyó, basándose, exploit, seguridad, crime, breach, anunciado, conf. BREACH un acronimo de Reconocimiento de Browser y exfiltracion mediante Compresion adaptable de hipertexto es un exploit de seguridad HTTPS cuando se utiliza la compresion HTTP BREACH se construyo basandose en el exploit de seguridad CRIME BREACH fue anunciado en la conferencia Black Hat de agosto de 2013 por los investigadores de seguridad Angelo Prado Neal Harris y Yoel Gluck 1 Indice 1 Detalles 2 Mitigacion 3 Referencias 4 Enlaces externosDetalles EditarSi bien el ataque CRIME fue presentado como un ataque general que podria funcionar con eficacia contra un gran numero de protocolos solo exploits contra compresion de solicitudes SPDY y compresion TLS fueron demostradas y en gran medida mitigadas en navegadores y servidores El exploit CRIME contra la compresion HTTP no se ha mitigado en absoluto a pesar de que los autores del crimen han advertido que esta vulnerabilidad podria ser aun mas extendida que SPDY y compresion TLS combinados BREACH es una instancia del ataque CRIME contra la compresion HTTP el uso por muchos navegador web y servidores web de algoritmos de compresion gzip o DEFLATE a traves de la opcion de la codificacion de contenido dentro de HTTP 2 Dado este oraculo de compresion el resto del ataque BREACH sigue las mismas lineas generales que el exploit CRIME mediante la realizacion de una busqueda inicial de fuerza bruta ciega para adivinar unos pocos bytes seguido por una busqueda de divide y venceras para expandir un acierto a una gran cantidad de contenido arbitraria BREACH explota la compresion en el protocolo HTTP subyacente Por lo tanto la desactivacion de la compresion TLS no hace ninguna diferencia a BREACH que todavia puede realizar un ataque de texto plano escogido en contra de la carga util de HTTP 3 Mitigacion EditarComo resultado los clientes y los servidores estan obligados ya sea a desactivar la compresion HTTP por completo reduciendo el rendimiento o a adoptar soluciones elaboradas para tratar de frustrar BREACH en escenarios de ataque individuales como el uso de proteccion de falsificacion de peticion en sitios cruzados CSRF 4 Otro enfoque sugerido es desactivar la compresion HTTP cada vez que la cabecera indica una peticion entre sitios cruzados o cuando la cabecera no esta presente 5 Este enfoque permite una mitigacion eficaz del ataque sin perder funcionalidad solo incurrir en una penalizacion de rendimiento en las solicitudes afectadas Referencias Editar Goodin Dan 1 de agosto de 2013 Gone in 30 seconds New attack plucks secrets from HTTPS protected pages Goodin Dan 1 de agosto de 2013 Gone in 30 seconds New attack plucks secrets from HTTPS protected pages Ars Technica Angelo Prado Neal Harris and Yoel Gluck SSL gone in 30 seconds A BREACH beyond CRIME Consultado el 7 de septiembre de 2013 Omar Santos 6 de agosto de 2013 BREACH CRIME and Black Hat Cisco Ivan Ristic 14 de octubre de 2013 Defending against the BREACH Attack Qualys com Consultado el 25 de noviembre de 2013 manu 14 de octubre de 2013 BREACH mitigation Qualys Community Consultado el 25 de noviembre de 2013 Enlaces externos EditarHerramienta que ejecuta el ataque BREACH demostrado en BlackHat 2013 Datos Q15700545Obtenido de https es wikipedia org w index php title BREACH ataque amp oldid 131221826, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos