Facebook近日在博客中公布了如何防御BREACH(通過自適應超文本壓縮進行的瀏覽器偵測與漏出)攻擊。

[[113497]]

BREACH攻擊與企業(yè)處理CSRF(跨站請求偽造)攻擊時采用的安全措施有關，BREACH專門針對那些擁有用戶賬戶的網站。

在CSRF攻擊中，攻擊者會假冒用戶并讓用戶的瀏覽器發(fā)送垃圾信息或者以web請求的方式竊取用戶在網絡上的賬戶。

而Facebook這樣的公司則會利用CSRF令牌來標記真實用戶或被黑賬戶，來防止攻擊。但是在新的BREACH攻擊面前這種方法失靈了。在一些環(huán)境中，網頁獲取壓縮超文本的方式使得黑客能夠發(fā)現用戶的CSRF證書，即使用戶與網站之間的通訊采取了加密措施也無濟于事。

Facebook目前通過在CSRF令牌中增加一個新的安全層來對付BREACH攻擊，具體做法如下：

某用戶一天中如果產生了三個Facebook會話，那么每個會話都會受到一個同樣的CSRF令牌，如今Facebook的系統(tǒng)會為每一次用戶請求發(fā)放一個新的令牌，這些新令牌通過24位鹽化隨機產生，“鹽”是令牌結尾最后四個字母。這能夠徹底避免令牌的重復問題。新的令牌發(fā)布后，此前的令牌還將保持幾天有效期，這意味著同一時期會有多個令牌處于有效期。

據Facebook安全與基礎架構團隊介紹，在CSRF令牌中引入隨機字母序列的做法足以挫敗依賴令牌重復性的BREACH攻擊。