beplay体育能用吗网络缓存中毒
描述:Web缓存中毒beplay体育能用吗
beplay体育能用吗Web缓存使用每个HTTP请求的少数特定组件识别资源,称为缓存键。缓存与同一缓存密钥相同的两个请求是等效的。
beplay体育能用吗当高速缓存处理后面的应用程序后面不包含在缓存密钥中的应用程序后,Web缓存中毒漏洞出现。攻击者可以通过发送制作的输入来触发缓存将保存并为其他用户提供的有害响应来利用这一点。
由于恶意缓存的页面可能会在没有其他交互的情况下为大量用户提供服务的影响可能是严重的。这种漏洞构成的威胁在很大程度上取决于输入可以实现的内容。通常,输入易于XSS,或者可用于触发重定向到另一个域。其他时候,它可以简单地用于交换页面。
修复:网络缓存中毒beplay体育能用吗
要解决此问题,请禁用对受影响的输入,或在所有受影响的页面上禁用缓存。
如果需要受影响的输入和缓存行为,请配置缓存以确保输入包含在缓存键中。根据您使用的缓存解决方案,如果输入处于请求标头,则可能可以使用不同响应标题来实现此功能。
参考
- beplay体育能用吗Web安全学院:网络缓存中毒
- beplay官网可以赌Portswigge agents研究:实用的网络缓存中毒beplay体育能用吗
- beplay官网可以赌Portswigge beplay体育能用吗agents研究:Web缓存纠缠
- HTTP vary标题
漏洞分类
典型的严重性
高的
类型索引(十六进制)
0x00200180
类型索引(十进制)
2097536.