Авторы эксплойта BREACH опубликовали в открытом доступе программу для пентестинга, предназначенную “только оценки своего сайта”. Согласно сообщению разработчиков эксплойта BREACH, они опубликовали в открытом доступе инструмент для проведения пентестинга. С помощью программы любой желающий может провести проверку своего ресурса на предмет устойчивости HTTPS к атакам.
Среди прочего у web-мастеров есть возможность провести BREACH-атаку на любой сайт, использующий SSL/TLS шифрование с предварительным сжатием трафика. При этом ресурс должен позволять отправление пользовательских запросов произвольного содержания (к примеру, поисковые запросы). “Инструмент предназначен исключительно для проведения оценки собственных ресурсов. Не делайте плохих вещей”, – призывают разработчики в описании программы. BREACH-атака – это новый вид нападения, продемонстрированный на конференции Black Hat 2013. Название расшифровывается как Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext или браузерное зондирование и эксфильтрация через адаптивную компрессию гипертекста. (Новости/NovostIT)
