CRIME
CRIME - це абревіатура, яка означає “Compression Ratio Info-leak Made Easy”. Це атака на протокол HTTPS, яка дає зловмисникам можливість дізнатися конфіденційну інформацію, яка передається між веб-сервером та клієнтом.
Щоб зрозуміти, як ця атака працює, спочатку потрібно знати, що таке HTTPS. HTTPS - це захищений протокол передачі даних в Інтернеті, який використовується для захисту конфіденційної інформації, такої як паролі, кредитні картки та інші особисті дані. У протоколі HTTPS дані шифруються для того, щоб захистити їх від зловмисників.
CRIME атака використовує уразливість, яка забезпечує стиснення даних в HTTPS протоколі. Зловмисник може змусити додаток виконати запит з великим числом знаків, після чого знайти будь-яку частину відповіді на запит, яку він може знати заздалегідь. Затім зловмисник може порівняти розміри відповіді та порівняти, яка частина була стиснута і яка ні, тим самим знаходить частину конфіденційної інформації.
Захист від атаки CRIME полягає в використанні TLS1.2 та вимкненні стиснення в протоколі. Також можливо використовувати додаткові засоби захисту, такі як Web Application Firewall.