未经许可,不得转载。
文章目录
前言
阅读本文前,推荐阅读:Web缓存欺骗攻击原理及攻防实战 | CSDN秋说
缓存用于保存响应的副本,以减少后端系统的负载。当缓存接收到 HTTP 请求时,会计算请求的缓存键,并利用该键来判断是否已保存适当的响应,或者是否需要将请求转发至后端。缓存键通常由请求方法、路径、查询字符串、Host 标头以及可能的一两个其他标头组成。在以下请求中,缓存键中未包含的值已用橙色标出。
Cache key:
需要注意的是,缓存本身并不是漏洞。网络应用程序之所以容易受到缓存攻击,通常是因为与其他缺陷(尤其是 XSS)结合,或因配置错误而导致拒绝服务