SafeBreach发布了一个 PoC 攻击用来自动化攻击,包括获取缓存时间信息,在特定时间访问设定的URL,判断发送的是0还是1。
Kotler 和Klein说,这样的攻击可以被称为完美的数据泄露攻击方法,因为它完全符合之前提到的“十诫”。这种方法还十分高效,因为它只是用了常规的web流量,不需要额外的软件,网络监控系统也不会发现任何可疑情况。
虽然这应该是完美的数据泄漏方法 ,但研究人员称,还有一些其他因素需要考虑。例如,网站会一直变动,因此应该建立一个更新网址的机制。另外要想完美实现方案,发送方和接收方的时间需要同步好。
另外,攻击者还得对网站做些研究,如果网站使用了多个缓存服务器或者对不同地理位置的访客使用分布式服务器的话就不适用。
防御手段
研究者称,一种防御方法就是截获所有http请求,然后延迟几秒,然后看网页有没有被接收者访问,但是使用这种方法会对用户体验造成严重影响,如果接收者设定10秒钟后访问这个网页,那每个请求起码得延迟11秒。
SafeBreach称还会带来针对大量数据泄露的完美泄密方法,还会寻找方法抵御完美泄密方法。