it-swarm.com.de

Schützt Cloudflare vor BREACH-Angriffen?

Ich weiß, dass das Aktivieren der http-Komprimierung einen Server für die BREACH-Angriffe anfällig machen würde. Also haben wir die Komprimierung von der Serverseite deaktiviert, getestet und alles war gut.

Dann haben wir CloudFlare für die Instanz implementiert. Wir haben den SSL-Sicherheitsscan erneut durchgeführt und festgestellt, dass die Anwendung gzip verwendet und daher für BREACH anfällig ist. Bei einer detaillierten Überprüfung haben wir festgestellt, dass die Komprimierung durch CloudFlare aktiviert wird.

Obwohl sie behaupten, einen eingebauten BREACH-Angriffsprävention Mechanismus zu haben, haben Leute von Security SE behauptet, dass BREACH ausgenutzt werden kann .

Im nächsten Schritt haben wir dann die von CloudFlare angebotene Brotli-Komprimierung deaktiviert. Während des Tests erkannte der Scanner jedoch erneut die Komprimierung. Jetzt stecken wir fest. Ich verstehe, dass der Browser-zu-CloudFlare-Verkehr mit Brotli komprimiert wird und CloudFlare -> Server unkomprimiert bleibt (da wir gzip von der Serverseite deaktiviert haben). Mildert dies tatsächlich das Problem des BREACH-Angriffs?

Wenn nicht, welche Empfehlung schlagen Sie vor?

7

Zitieren der Antwort des Cloudflare-Community-Supports:

Ich habe keine Ahnung, warum ein Berichterstellungstool eines Drittanbieters dies anzeigt, aber meiner Erfahrung nach ist es viel wahrscheinlicher, dass das Tool schlecht gestaltet ist (Überprüfung der Fähigkeit, beispielsweise gzip-Inhalte anzufordern, anstatt tatsächlich zu versuchen, die Sicherheitsanfälligkeit auszunutzen). . Wenn sie jedoch glauben, einen tatsächlichen Exploit zu haben, nimmt Cloudflare am HackerOne-Programm zur verantwortungsvollen Offenlegung teil und kann dies dort melden.

Die zweite Frage lautet: "Warum werden meine Inhalte über Cloudflare komprimiert?" Die Antwort darauf lautet: Cloudflare unterstützt standardmäßig die Komprimierung, wenn ein Client dies anfordert. Wir unterstützen standardmäßig gzip und optional Brotli. Sie haben die Brotli-Komprimierung deaktiviert, aber unser Standardverhalten bleibt bestehen, es sei denn, es wird durch explizite Cache-Steueranweisungen überschrieben. Sie können eine No-Transform-Direktive in Ihre Cache-Header aufnehmen, um zu verhindern, dass Cloudflare Komprimierung anwendet.

Ich komme daher zu dem Schluss, dass die Antwort des Scanners falsch positiv war, und markiere das Problem als gelöst.

Referenz:

1

Schwachstellenscanner können falsch sein. Sie erkennen häufig nur die Umstände einer Sicherheitsanfälligkeit, wie z. B. die Komprimierung, ohne tatsächlich zu testen, ob dieser Umstand anfällig ist. Es liegt an Ihnen, die Gültigkeit jeder von Ihrem Scanner präsentierten Erkennung zu überprüfen. Dazu müssten Sie einen BREACH-Angriff gegen CloudFlare starten. Bitte tun Sie dies nicht, ohne es vorher mit dem Sicherheitsteam zu klären. Sie würden als echte Bedrohung angesehen, wenn Sie Penetrationstests ohne Erlaubnis durchführen würden. Dies ist in den meisten Ländern illegal.

Diese Frage kann nur von ihrem Support-Team beantwortet werden. In diesem Fall haben Sie bereits ihre Antwort. Sie haben eine Schadensbegrenzung implementiert und diese intern überprüft.

Cloudflare hat alle Server gegen diese Sicherheitsanfälligkeiten gepatcht. Außerdem verfügt die Cloudflare WAF über Regeln zur Minderung mehrerer dieser Sicherheitsanfälligkeiten, einschließlich Heartbleed und Shellshock.

Schließen Sie dieses Element in Ihrem Scanner als falsch positiv.

2
HackSlash