安全测试发现可高速缓存的登录页面的解决方法

最新推荐文章于 2024-06-24 09:15:00 发布
最新推荐文章于 2024-06-24 09:15:00 发布
阅读量6.1k 收藏 2
点赞数
分类专栏: 安全测试 文章标签: 测试 文档 浏览器 ibm 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/7827343
版权

 

发现可高速缓存的登录页面

【问题描述】采用IBM Appscan进行扫描测试,发现可高速缓存的登录页面,给出的修改建议为:

【解决方法】

1、首先简单了解下HTTP通用信息头中的Pragma的含义:

Pragma头字段的设置值只能固定为no-cache,即Pragma:no-cache。当Pragma头字段用于响应消息时,指示HTTP1.0客户端不要缓存文档;当用于请求消息时,指示代理服务器必须返回一个最新的文档,而不能用缓存的文档。一些HTTP1.0的浏览器对这个头字段的支持不是非常可靠,因此,人们过去常常使用取值为0的Expires头字段来实现同样功能。在HTTP1.1中,使用Cache-Control头字段的no-cache设置值是一样比Pragma更为可靠的实现。

2、解决方法:

通过在登录页面中新增<meta http-equiv=〞Pragma〞,content=〞no-cache〞>,并在登录后台代码中新增以下信息:

  // 浏览器端不缓冲页面

  httpResponse.addHeader("Cache-Control", "no-cache");

  httpResponse.addHeader("Pragma", "no-cache");

  httpResponse.addDateHeader("Expires", 0);

 

 

 

aovenus
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
发现高速缓存的 SSL 页面
dieman0446的博客
04-06 1759
发现高速缓存的 SSL 页面 技术描述:   缺省情况下,大部分 Web 浏览器都配置成会在使用期间高速缓存用户的页面。 这表示也会高速缓存 SSL 页面。不建议让 Web 浏览器保存任何 SSL 信息,因为当有漏洞存在时,可能会危及这个信息。安全风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置,一般在所有 SSL 页面及含有敏感数...
高速缓存和页回写(一)
lili的博客
09-07 421
缓存写入 进程写磁盘时,缓存有三种策略 不缓存:高速缓存不去缓存任何写操作,当写入时直接跳过缓存,写到磁盘,同时使缓存中数据失效。 写透:自动更新内存缓存,同时更新磁盘文件,有利于保持缓存一致性。 回写 :将页高速缓存中被写入的页面标记成“脏”,并加入到脏页链表。由回写进程周期性将脏页写到磁盘。清理“脏”页标识。方便合并更多数据再一次刷新。 缓存回收 缓存内容需要置换,清除内容为更重要缓存项腾出位置,需要确定缓存中内容被清除的策略即缓存回收策略。 先选择干净页进行简单替换,不够再进行回写...
发现高速缓存的SSL页面处理方法
02-05
提供方法解决appscan扫描出来的漏洞《发现高速缓存的SSL页面》,主要是设置页面不被缓存
合在页高速缓存里面的缓冲区高速缓存
Netfilter
02-09 4776
一直以来,缓存和缓冲的概念十分容易引起混淆,其实如果用英文来表示的话可能会好一些,用英文表示,缓冲就是buffer,缓存就是cache,buffer有减轻,减震的作用,其实就是为了减少抖动而采取的平滑化方案,而后者cache是真实事物的代替或者是为了更低价的取得一些数据而采取的暂存方案,这是它们的区别,那么它们的联系是什么呢?最简单的,缓冲区可以被缓存吗,或者相反,缓存需要缓冲一下子吗?缓存不必缓
AppScan安全专项问题解决
最新发布
m0_61869253的博客
06-24 1144
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
安全软件: 扫描提示发现高速缓存登录页面解决方案
风之使者的博客
06-14 1770
扫描工具: IBM Security AppScan, 它会对 web应用程序进行自动的安全漏洞扫描。 漏洞报告截图: 解决方案: 1). <meta http-equiv="Cache-Control" content="no-cache, no-store"> 告知浏览器不缓存页面 2). <meta http-equiv="Pragma" content="no-cache">
Redis缓存测试整理笔记(一)
qq_41044271的博客
07-18 392
如果遇到请求攻击,即使这个缓存有效期只有1秒,也是很有效的,能够挡住大量的请求。针对请求参数变化不大,返回的数据跟DB中存储的数据很接近的情况,适合在”里面“缓存数据,也就是在更新DB的同时更新缓存,这种情况最优的状态下,只需要读缓存就够了,不需要跟DB直接交互,能大大缓存DB压力,这种缓存有效期可以设置很长。内存缓存和数据库缓存类似,受技术栈限制,比如Java可以使用,并且非常频繁,但是PHP无法使用,内存缓存比数据库缓存更快,因为内存缓存不可能一直增加,所以限制更多,稍微不注意就会出现内存泄漏的问题.
DNS部署(一)高速缓存DNS的搭建
qq_39376481的博客
03-15 668
1.DNS: Domain Name System,域名系统。 万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网。他主要负责把域名和IP的相互转换,DNS运行与TCP|UDP的53端口上。 2.高速缓存DNS:DNS服务器可以高速缓存从其他DNS服务器收到的DNS记录,也可以在DNS客户服务中使用高速缓存,将其作为DNS客户端保存在最近的查询过程中得到的信息高速缓...
处理文件缓存的方法
11-08
例如,浏览器缓存、操作系统页面缓存和数据库缓冲池都是常见的文件缓存形式。 标题"处理文件缓存的方法"提示我们关注的重点是管理和维护这些缓存。在实际应用中,这通常涉及到两个关键步骤:计算文件夹大小和清除...
高速缓存DNS
qq_36275923的博客
11-27 549
文章目录DNS1. 什么是DNS2.DNS的分类一.高速缓存DNS的部署1.什么是高速缓存DNS2.为什么要部署高速缓存DNS3.实验步骤二.正向解析三.轮询式域名解析四.MX邮件交换记录 DNS 1. 什么是DNS   域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。 2.DNS...
实验八 采用高速缓存实现文件读\写
G453473123的博客
07-10 932
实验八 采用高速缓存实现文件读\写 一、实验目的 了解windows系统文件告诉缓存的概念。 熟悉Windows系统文件读\写相关API。 掌握采用缓冲方式实现文件读\写相关参数的设置。 二、实验准备 实验知识准备 高速缓冲 访问缓存必将访问磁盘,而磁盘的访问速度远远低于内存的访问速度,高速缓存就是利用内存中的存储空间,来再存磁盘传输数据,因此高速缓存不是真正的物理设备,而是一只核心及内存映像机制。由于它被设置在内存中,因此速度非常快,可以在一定程度上解决CPU与磁盘速度不匹配的问题。 高速缓存的原
session机制,缓存,安全
05-06
该资源的主要讲解了session的主要用法,工作原理,安全机制,单点登录,在大型web中的应用。主要为对session不甚了解的同志,价值含量较高,也较为实用。
深入理解Linux内核-内存和磁盘-页高速缓存
x13262608581的博客
08-19 793
深入理解Linux内核--页高速缓存
nginx高速缓存
weixin_55668888的博客
09-27 1117
许多Web服务器还具有校验功能,就是当某些副本数据过期以后,先向后端服务器发送校验请求,后端服务器对这些数据进行校验,如果发现原数据和副本没有差别,则将过期副本重新置为可用副本。并且 使用 /usr/local/openresty/nginx/conf/nginx.conf -t 检测一下语法。进入cd /usr/local/openresty/nginx/conf 把之前nginx修改的文件 复制到当前文件里面。可以看见速度有明显的上升 实验成功 这个就叫做nginx的高速缓存
Web安全前端常见问题以及修复方法
一杯咖啡的渗透记忆
08-10 2955
Web安全前端常见问题以及处理方法
AppScan漏洞风险处理
qq_32590535的博客
06-19 3319
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
5G NR随机接入过程与网络高速缓存技术详解
这些算法旨在解决高速缓存更新、一致性维护和资源有效利用的问题。 Http/Cache是一个基础类,它模拟一个具有有限容量的HTTP缓存,不包含排除策略或一致性算法,主要供实验使用。通过NS(例如NS2)中的这个类,研究...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值