此后已经修补了开源项目的漏洞
HTTP标头的不当左网站构建在Symfony平台顶部的网站很容易受到伤害beplay体育能用吗beplay体育能用吗网络缓存中毒攻击。
Symfony是一个流行的Web应用程序的PHP框架,是一个beplay体育能用吗开源具有超过2亿历史下载的项目。
该平台被发现容易受到Web Cache中毒攻击的影响,可能会暴露敏感信息,例如用户的Ibeplay体育能用吗P地址。
beplay体育能用吗网络缓存中毒攻击针对Web服务器和客户端设备之间的中间存储点,例如占主点服务器,代理和负载平衡器。beplay体育能用吗
背景黑帽2020:网络缓存中毒提供了beplay体育能用吗新的方法来砸破网络堆栈
这些服务器通常通过存储Web内容的本地版本来加快向Web客户端的交付来帮助提高网站的性能。beplay体育能用吗
beplay体育能用吗Web缓存中毒攻击技巧缓存服务器存储有害内容,然后将其交付给客户。
负载平衡标头
现在已修复,该错误是在基于Symfony的网站在代理或负载平衡器后面运行时引起的。beplay体育能用吗在这种情况下,开发人员可以指示Symfony寻找X-Forwarded-*标题,提供有关客户端的额外信息,例如原始IP地址,协议和端口。
Symfony使用aTrusted_headers允许列表限制允许标题并防止网络缓存中毒攻击。beplay体育能用吗在5.2版中,Symfony的开发人员增加了对X-Forwarded-Refix标头,附加有关请求的原始路径基础的信息。
根据GitHub咨询的说法,该错误是在子重点功能中,该功能允许开发人员渲染并提供页面的一小部分,而不是完整页面。
这X-Forwarded-Refix即使未包含在其Trusted_headers列表中,标题也由“子要求”处理。
恶意演员可以利用此错误来进行网络缓存中毒攻击beplay体育能用吗X-Forwarded-Refix标题并将它们存储在缓存服务器中。
恶意片段后来将提供给其他提出相同请求的客户。
深远
目前尚不清楚其他有多少其他网站受到影响,但是鉴于Symfonbeplay体育能用吗y在PHP Web开发人员社区中的广泛影响力可能是深远的。
每日swbeplay2018官网ig已与Symfony的维护者联系以进行评论。如果我们收到有关该错误的更多详细信息,我们将更新此帖子。
