当前位置: 首页 > article >正文

【网络安全】揭示 Web 缓存污染与欺骗漏洞

article 2024/11/1 7:04:34

未经许可,不得转载。

文章目录

    • 前言
    • 污染与欺骗
      • Web 缓存污染 DoS
        • 1、HTTP 头部超大 (HHO)
        • 2、HTTP 元字符 (HMC)
        • 3、HTTP 方法覆盖攻击 (HMO)
        • 4、未键入端口
        • 5、重定向 DoS
        • 6、未键入头部
        • 7、Host 头部大小写规范化
        • 8、路径规范化
        • 9、无效头部 CP-DoS
        • 10、HTTP 请求拆分
      • Web 缓存污染与有害有效载荷
        • 1. 无键查询
        • 2. 无键方法
        • 3. Fat GET
        • 4. 缓存参数伪装
    • 路径混淆方法
    • 相关链接

前言

阅读本文前,推荐阅读:Web缓存欺骗攻击原理及攻防实战 | CSDN秋说

缓存用于保存响应的副本,以减少后端系统的负载。当缓存接收到 HTTP 请求时,会计算请求的缓存键,并利用该键来判断是否已保存适当的响应,或者是否需要将请求转发至后端。缓存键通常由请求方法、路径、查询字符串、Host 标头以及可能的一两个其他标头组成。在以下请求中,缓存键中包含的值已用橙色标出。

在这里插入图片描述

Cache key:
在这里插入图片描述

需要注意的是,缓存本身并不是漏洞。网络应用程序之所以容易受到缓存攻击,通常是因为与其他缺陷(尤其是 XSS)结合,或因配置错误而导致拒绝服务


http://www.kler.cn/a/374072.html

相关文章:

  • 问:Redis为什么这么快?
  • UDP-鼠李糖合成酶基因的克隆与鉴定-文献精读76
  • STL---unordered_set与unordered_map与前言(哈希表)
  • Python册数2
  • 12. MapReduce全局计数器
  • WebSocket简单使用
  • 聊一聊Qt中的Slider和ProgressBar
  • 【JS学习】04. JS基础语法-函数
  • 一致校验关系一致校验矩阵
  • 渗透测试-百日筑基—文件上传篇特征截断渲染%00绕过——下篇
  • 大数据-200 数据挖掘 机器学习理论 - 决策树 数据集划分 决策树生成 ID3 C4.5
  • Java面试经典 150 题.P55. 跳跃游戏(009)
  • <HarmonyOS第一课>HarmonyOS SDK开放能力简介的课后习题
  • SpringMVC笔记 一万字
  • HarmonyOS NEXT: 抓住机遇,博
  • VMware ESXi 6.7U3u macOS Unlocker OEM BIOS 2.7 标准版和厂商定制版 UI fix
  • 【编程知识】C语言/c++的cast是什么
  • Java读写锁(ReentrantReadWriteLock )学习笔记
  • KKFileView v4.4.0文件预览服务 编译和window运行和nginx代理设置
  • 安科瑞Acrel-1000DP分布式光伏系统
  • <collection> 和 <association>的详细用法(附详细代码解析)
  • vue3+pinia实现状态管理和持久化存储
  • 工业网络监控中的IP保护与软件授权革新
  • [LeetCode] 494. 目标和
  • ffmpeg 提取mp4文件中的音频文件并保存
  • 重塑社区治理:王鹏谈Vitalik Buterin的去中心化理念