3

有人建议我在我们的 ASP.NET MVC Core 站点中实现以下项目,以防止 BREACH 攻击。你如何实施它们?

  • 将秘密与用户输入分开。
  • 随机化每个客户端请求中的秘密。
  • 掩码秘密(通过 XORing 与每个请求的随机秘密有效地随机化)。
  • 通过添加随机数量的任意字节来混淆 Web 响应的长度。

我们已经在每个表单上实施了防跨站点伪造令牌并关闭了 Http 级别压缩。

任何帮助将不胜感激。

这是由该工具报告的:

https://www.acunetix.com/

先感谢您。

4

2 回答 2

2

正如@Isa“在IIS中禁用HTTP压缩”所述

您可以在本文中找到提示

有一个部分,标题为“如何启用或禁用站点或应用程序的静态和动态压缩”

我已禁用动态压缩,重新测试并通过。

于 2017-07-13T02:00:30.947 回答
2

我所做的只是在 IIS 中禁用 HTTP 压缩,并且我们的安全扫描不再引发 BREACH ATTACH 问题。

于 2017-01-19T15:37:08.360 回答