当前位置: 首页 > news >正文

【网络安全】揭示 Web 缓存污染与欺骗漏洞

news 2025/7/8 19:31:54

未经许可,不得转载。

文章目录

    • 前言
    • 污染与欺骗
      • Web 缓存污染 DoS
        • 1、HTTP 头部超大 (HHO)
        • 2、HTTP 元字符 (HMC)
        • 3、HTTP 方法覆盖攻击 (HMO)
        • 4、未键入端口
        • 5、重定向 DoS
        • 6、未键入头部
        • 7、Host 头部大小写规范化
        • 8、路径规范化
        • 9、无效头部 CP-DoS
        • 10、HTTP 请求拆分
      • Web 缓存污染与有害有效载荷
        • 1. 无键查询
        • 2. 无键方法
        • 3. Fat GET
        • 4. 缓存参数伪装
    • 路径混淆方法
    • 相关链接

前言

阅读本文前,推荐阅读:Web缓存欺骗攻击原理及攻防实战 | CSDN秋说

缓存用于保存响应的副本,以减少后端系统的负载。当缓存接收到 HTTP 请求时,会计算请求的缓存键,并利用该键来判断是否已保存适当的响应,或者是否需要将请求转发至后端。缓存键通常由请求方法、路径、查询字符串、Host 标头以及可能的一两个其他标头组成。在以下请求中,缓存键中包含的值已用橙色标出。

在这里插入图片描述

Cache key:
在这里插入图片描述

需要注意的是,缓存本身并不是漏洞。网络应用程序之所以容易受到缓存攻击,通常是因为与其他缺陷(尤其是 XSS)结合,或因配置错误而导致拒绝服务

http://www.lryc.cn/news/473760.html

相关文章:

  • PHP如何防止防止源代码的暴露
  • C++智能指针的实现
  • 硅谷(12)菜单管理
  • 定子调压调速系统
  • 从APP小游戏到Web漏洞的发现
  • 设计模式07-结构型模式(装饰模式/外观模式/代理模式/Java)
  • C# 广播技术——发现局域网设备技术——
  • 【QA】windows和linux陷入系统调用后有什么区别?
  • Github 2024-11-01 开源项目月报 Top19
  • Python实现深度学习模型预测控制(tensorflow)DL-MPC(Deep Learning Model Predictive Control
  • Anki插件Export deck to html的改造
  • csdn 记载文章十分缓慢
  • python通过pyperclip库操作剪贴板
  • LSTM——长短期记忆神经网络
  • 10进阶篇:运用第一性原理解答“是什么”类型题目
  • 【elkb】索引生命周期管理
  • 江协科技STM32学习- P25 UART串口协议
  • 15分钟学 Go 第 22 天:包的使用
  • 【Leecode】Leecode刷题之路第35天之搜索插入位置
  • 速盾:海外cdn高防
  • 图书管理系统(JDBC)
  • 模板初阶及STL简介
  • UE5 不同的编译模式下,module的组织形式
  • 【ms-swift 大模型微调实战】
  • Linux:网络基础
  • mysql 的内连接、左连接、右连接有什么区别?
  • update-alternatives(选择工具)
  • php解密,sg11解密-sg15解密 如何由sourceGuardian11-sourceGuardian15加密(sg11加密~sg15加密)的源码
  • b站小土堆PyTorch视频学习笔记(二)
  • Linux的压缩及其解压命令