web缓存欺骗

最新推荐文章于 2024-01-10 18:10:37 发布
最新推荐文章于 2024-01-10 18:10:37 发布
阅读量302 收藏
点赞数
分类专栏: Web安全 文章标签: http攻击 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/107843838
版权

前言

是否遇到过,打开登录过的某网站,出现的却是别人的信息?

是否被要求过接口返回的手机号要用星号打码?

如果网站被黑客用缓存攻击,就可能展示的是别人的信息;若返回的手机号被打码,那泄露的这些信息就没那么大的影响

 

什么是web缓存欺骗

缓存是很多网站都会开启的,可以减少网络传输,提升用户体验等等

但若缓存和服务器的配置存在如下情况,则有可能被攻击

1、攻击者登录过example.com网站,然后打开http://www.example.com/home.php/non-existent.css

2、后端服务器,返回http://www.example.com/home.php(其中包含私人信息手机号等),并增加不缓存的http头

3、缓存服务器,根据后缀.css判断是静态文件,于是缓存,建立home.php缓存,并保存内容为私人信息

4、其他用户打开http://www.example.com/home.php,得到的是缓存过non-existent.css内容,会返回攻击者的私人信息

若攻击者将http://www.example.com/home.php/non-existent.css发送给受害者访问,然后攻击者就可以获取到受害者的私人信息

PayPal曾经被这样攻击过,参考:https://omergil.blogspot.com/2017/02/web-cache-deception-attack.html

 

解决方法

1、缓存服务器根据http头或content-type决定是否缓存

2、配置服务器对于http://www.example.com/home.php/non-existent.css请求 返回404

深入浅出_balance
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web缓存欺骗攻击
BetsyMyGirl的博客
12-09 5300
一文弄懂缓存欺骗攻击漏洞
缓存欺骗漏洞
ZXT02的博客
04-03 122
缓存欺骗漏洞
web缓存欺骗Web Cache Deception)
hackzkaq的博客
08-01 88
Web缓存欺骗(WebCacheDeception)是一种新的web攻击方法,包括web框架以及缓存机制等在内的许多技术都会受到这种攻击的影响。攻击者可以使用这种方法提取web用户的私人及敏感信息,在某些场景中,攻击者利用这种方法甚至可以完全接管用户账户。Web应用框架涉及许多技术,这些技术存在缺省配置或脆弱性配置,这也是Web缓存欺骗攻击能够奏效的原因所在。...
黑客Web欺骗的工作原理和解决方案 (4) Web欺骗的工作原理
网络精英-服务日
03-03 1903
Web欺骗的工作原理  欺骗能够成功的关键是在受攻击者和其他Web服务器之间设立起攻击者的Web服务器,这种攻击种类在安全问题中称为“来自中间的攻击”。为了建立起这样的中间Web服务器,黑客往往进行以下工作。     改写URL     首先,攻击者改写Web页中的所有URL地址,这样它们指向了攻击者的Web服务器而不是真正的Web服务器。假设攻击者所处的Web服务器是 www.org ,攻击者通
Web缓存欺骗攻击
Q1n6
09-04 3207
原文地址: http://www.4hou.com/technology/7523.html 前言 Omer Gil早在今年年初就在他的博客上发表了有关于Web缓存欺骗攻击技术的博文,随后他在BlackHat USA 2017 和 BSides Tel-Aviv 2017 上对这种攻击技术进行了演示,并做了更深入的研究。 在他发布的“Web 缓存欺骗技术白皮书”中,详细的介
详解Web缓存欺骗攻击1
08-04
Web缓存欺骗攻击 Web缓存欺骗攻击是一种新型的Web攻击方法,它可以影响包括Web框架在内的许多技术。攻击者可以使用这种方法来提取Web用户的私人和敏感信息,在某些场景中,攻击者甚至可以完全接管用户账户。 Web...
Airachnid-Burp-Extension:一个Burp扩展,用于测试应用程序是否存在Web缓存欺骗攻击的漏洞
05-10
Web缓存欺骗Burp扩展一个Burp扩展,用于测试应用程序是否存在Web缓存欺骗攻击的漏洞。 加载扩展后,可以在“目标-站点地图”选项卡中对其进行访问,然后右键单击应测试的资源。 将显示一个上下文相关的菜单项,称为...
xmlhttp缓存清除的2种解决方法
09-04
总的来说,理解和处理xhr缓存问题对于开发实时性要求高的Web应用至关重要。正确地设置请求头或URL参数可以帮助开发者确保获取的数据是最新的,避免因缓存导致的错误或延迟。在实际应用中,可以根据具体需求和浏览器...
如何解决flask修改静态资源后缓存文件不能及时更改问题
09-16
在使用Flask开发Web应用时,经常会遇到一个问题:当你修改了静态资源文件(如CSS、JavaScript),浏览器却依然显示旧的缓存版本,导致无法看到最新的更改效果。为了解决这个问题,我们需要理解Flask的静态文件处理...
Web应用安全:HTTP协议请求报文文本.docx
06-17
例如,跨站脚本攻击(XSS)可能通过构造恶意的请求体来注入代码,而跨站请求伪造(CSRF)则可能利用"Referer"头欺骗服务器,执行未经授权的操作。Cookie管理不当可能导致会话劫持,破坏用户会话的安全性。此外,不...
黑客Web欺骗的工作原理和解决方案 (6) Web欺骗的预防解决
网络精英-服务日
03-03 1718
Web欺骗的预防解决   逃离灾难    受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。这里有若干种方法。访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面,离开攻击者所设下的陷阱。不过,如果用户使用“Back”按键,则会重新进入原先的错误Web页面。当然,如果用户将所访问的错误Web存入Bookmark,那么下次可能会直接进入攻击者所设下的陷阱。  
黑客Web欺骗的工作原理和解决方案
永远的勿忘我
05-06 1931
 黑客Web欺骗的工作原理和解决方案  本文描述Internet上的一种安全攻击,它可能侵害到WWW用户的隐私和数据完整性。这种攻击可以在现有的系统上实现,危害最普通的Web浏览器用户,包括Netscape Navigator和Microsoft Internet Explorer用户。  允许攻击者创造整个WWW世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器,经过攻击
缓存欺骗原理
weixin_44843084的博客
06-19 266
实现攻击的一个条件是应用程序对现有的URL请求的解释,在最后添加一个不存在的文件的名称,如http://www.example.com/home.php/nonexistent.css,最后将返回http://www.example.com/home.php 攻击原理概述 未经过身份验证的攻击者可以轻松的利用此漏洞,攻击步骤如下面所示: 1.攻击者诱使已经登录的用户访问https://www.bank.com/account.do/logo.png。 2.受害者的浏览器请求https://www.bank.
常见Web十大漏洞,常见Web漏洞
qq_22792465的博客
07-27 6419
参考:https://blog.csdn.net/weixin_43376075/article/details/105189017https://blog.csdn.net/qq_43168364/article/details/105595532https://www.cnblogs.com/-qing-/p/10819069.html代码执行函数:1- eval()#传入的参数必须为PHP代码,既需要以分号结尾。比如从指定URL地址获取网页文本内容,加载指 定地址的图片,下载等等。
【前端安全】web缓存投毒
'Ablaze 的专栏
01-09 3046
核心概念 缓存 web缓存位于用户和应用程序服务器之间,用于保存和提供某些响应的副本。在下图中,我们可以看到三个用户一个接一个地获取相同的资源: 缓存技术旨在通过减少延迟来提升页面加载速度,还可以减少应用程序服务器上的负载,同时达到防止Dos攻击的目的。 缓存缓存的概念可能听起来简单明了,但它隐藏了一些风险的假设。 每当缓存服务收到对资源的请求时,它需要确定: 是否已保存此指定资源的副本 是否可以使用该副本进行响应 是否需转发给应用程序服务器 确定两个请求是否正在尝试加载相同的资源可能是很棘手的问
【网络安全】Web缓存欺骗攻击原理及攻防实战
最新发布
等风来
01-10 1774
缓存的意义在于实现资源的快速访问,在Web程序中就使用了网络缓存功能,如CDN、负载均衡器及反向代理。为了实现快速访问,同时保证数据安全,可将一些静态的、公共的、不敏感的文件缓存在服务器,而一些动态的、敏感的文件则不应缓存
Web安全漏洞——Web Cache欺骗攻击
m0_61506558的博客
10-12 820
最近在学校听计算机组成原理,在接触到Cache缓存时,有点疑惑,可能是方向原因,感觉数据这样交互会出现信息泄露的风险,通过在谷歌上查找各种文章,打算把这一块的漏洞整理一下。(一) 简介。
黑客Web欺骗的工作原理和解决方案 (3) Web欺骗欺骗手段
网络精英-服务日
03-03 2293
Web欺骗欺骗手段  TCP和DNS欺骗     除了我们将要讨论的欺骗手段外,还有一些其他手段,在这里我们将不做讨论。这种攻击的例子包括TCP欺骗(在TCP包中使用伪造的IP地址)以及DNS欺骗(攻击者伪造关于机器名称和网络信息)。读者有兴趣可以阅读有关资料。    Web欺骗     Web欺骗是一种电子信息欺骗,攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web
新型Web攻击技术——Web缓存欺骗
江南@风少的博客
03-03 2070
新型Web攻击技术——Web缓存欺骗
Web Cache Deception 攻击解析
这篇文档主要探讨了Web缓存欺骗攻击(Web Cache Deception Attack),这是一种针对Web应用程序的安全威胁,由Omer Gil提出。Web缓存欺骗利用了CDN(内容分发网络)、负载均衡器以及反向代理服务器等中间缓存机制的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值