【网络安全】揭示 Web 缓存污染与欺骗漏洞

未经许可,不得转载。

文章目录

    • 前言
    • 污染与欺骗
      • Web 缓存污染 DoS
        • 1、HTTP 头部超大 (HHO)
        • 2、HTTP 元字符 (HMC)
        • 3、HTTP 方法覆盖攻击 (HMO)
        • 4、未键入端口
        • 5、重定向 DoS
        • 6、未键入头部
        • 7、Host 头部大小写规范化
        • 8、路径规范化
        • 9、无效头部 CP-DoS
        • 10、HTTP 请求拆分
      • Web 缓存污染与有害有效载荷
        • 1. 无键查询
        • 2. 无键方法
        • 3. Fat GET
        • 4. 缓存参数伪装
    • 路径混淆方法
    • 相关链接

前言

阅读本文前,推荐阅读:Web缓存欺骗攻击原理及攻防实战 | CSDN秋说

缓存用于保存响应的副本,以减少后端系统的负载。当缓存接收到 HTTP 请求时,会计算请求的缓存键,并利用该键来判断是否已保存适当的响应,或者是否需要将请求转发至后端。缓存键通常由请求方法、路径、查询字符串、Host 标头以及可能的一两个其他标头组成。在以下请求中,缓存键中包含的值已用橙色标出。

在这里插入图片描述

Cache key:
在这里插入图片描述

需要注意的是,缓存本身并不是漏洞。网络应用程序之所以容易受到缓存攻击,通常是因为与其他缺陷(尤其是 XSS)结合,或因配置错误而导致拒绝服务

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/1219.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

网络自动化01:netmiko基础、netmiko简单demo

本系列应该是记录我在网络自动化中的学习、使用。具体更新多少期、什么频率都不太清楚。 同时本文的记录方式不会是那么的符合学习的思路,需要更加详细的内容建议阅读官方文档等。 本人学习的路径是基于九净老师的NetDevOps加油站,但本文有所简化&#x…

一篇文章理解CSS垂直布局方法

方法1&#xff1a;align-content: center 在 2024 年的 CSS 原生属性中允许使用 1 个 CSS 属性 align-content: center进行垂直居中。 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta name"viewpo…

上海亚商投顾:沪指缩量调整 华为概念股午后爆发

上海亚商投顾前言&#xff1a;无惧大盘涨跌&#xff0c;解密龙虎榜资金&#xff0c;跟踪一线游资和机构资金动向&#xff0c;识别短期热点和强势个股。 一.市场情绪 市场全天震荡调整&#xff0c;沪指、深成指午后跌超1%&#xff0c;创业板指一度跌逾2%&#xff0c;尾盘跌幅有…

近百万奖金!2024 Web3.0 创新大赛重磅来袭!

10月30日&#xff0c;中国互联网协会与香港Web3.0协会共同组织举办的2024 Web3.0 创新大赛在上海举行启动会&#xff0c;宣布大赛正式在DataFountain竞赛平台&#xff08;简称DF平台&#xff0c;http://www.datafountain.cn&#xff09;启动上线。 大赛面向社会各界征集参赛团队…

Github 2024-11-01 开源项目月报 Top19

根据Github Trendings的统计,本月(2024-11-01统计)共有19个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量Python项目9TypeScript项目3JavaScript项目3Svelte项目1Jupyter Notebook项目1Ruby项目1HTML项目1Rust项目1Java项目1C++项目1Go项目1Python中的…

操作系统实验记录

实验零:虚拟机安装 一、安装vmware虚拟机 与vmware匹配搜索结果 - 考拉软件 (rjctx.com),下载17.5.1版本即可下载后对照教程安装 二、下载iso虚拟驱动 搜索清华大学镜像网站,点击再搜ubuntu,下载这个4.1GB的iso文件安装后打开vmware虚拟机 三、配置vmware虚拟机 右键管…

五层塔灯——智能仓储的守护者

在繁忙的现代仓库中&#xff0c;每一寸空间都承载着货物的流转与信息的传递。然而&#xff0c;传统仓库管理常常面临着效率低下、错误频发的问题。正是在这样的背景下&#xff0c;一款名为“五层塔灯”的创新产品应运而生&#xff0c;它以其独特的设计理念和卓越的性能&#xf…

开通商家转账到零钱提交注意事项

商家转账到零钱是微信支付提供的一项功能&#xff0c;允许商家将资金直接转入用户的微信零钱账户。不过目前该接口的申请目前采用人工审核&#xff0c;对商家提交的材料设置了比较高的门槛导致很多商家的申请屡次被驳回&#xff0c;这边文章总结了我们数千次成功申请的经验以帮…

【环境风险评估、风力发电、城市街道排放、生态气象等领域】WRF-LES与PALM微尺度气象大涡模拟

PALM和WRF-LES主要应用于微尺度气象学领域&#xff0c;具体包括以下几个方面&#xff1a; 城市和复杂地形环境中的流场模拟&#xff1a;PALM特别适用于城市和复杂地形环境中的流场模拟。这类模拟对于理解城市热岛效应、污染物扩散、城市通风等城市气象问题至关重要。 边界层动…

【Web前端】JavaScript 对象原型与继承机制

JavaScript 是一种动态类型的编程语言&#xff0c;其核心特性之一就是对象和原型链。理解原型及其工作机制对于掌握 JavaScript 的继承和对象关系非常重要。 什么是原型 每个对象都有一个内部属性 ​​[[Prototype]]​​​&#xff0c;这个属性指向创建该对象的构造函数的原型…

[java][基础]HTTPTomcatServlet

1&#xff0c;Web概述 1.1 Web和JavaWeb的概念 Web是全球广域网&#xff0c;也称为万维网(www)&#xff0c;能够通过浏览器访问的网站。 在我们日常的生活中&#xff0c;经常会使用浏览器去访问百度、京东、传智官网等这些网站&#xff0c;这些网站统称为Web网站。如下就是通…

模型 康威定律(沟通VS技术架构)

系列文章 分享 模型&#xff0c;了解更多&#x1f449; 模型_思维模型目录。组织结构塑造系统架构。 1 康威定律的应用 1.1 某金融科技公司支付系统的微服务架构 某金融科技公司的支付系统采用微服务架构&#xff0c;团队按照功能模块划分为支付网关团队、账户管理团队、风控…

【Python】【数据可视化】【商务智能方法与应用】课程 作业一 飞桨AI Studio

作业说明 程序运行和题目图形相同可得90分&#xff0c;图形显示有所变化&#xff0c;美观清晰可适当加分。 import matplotlib.pyplot as plt import numpy as npx np.linspace(0, 1, 100) y1 x**2 y2 x**4plt.figure(figsize(8, 6))# yx^2 plt.plot(x, y1, -., labelyx^2,…

江协科技STM32学习- P28 USART串口数据包

&#x1f680;write in front&#x1f680; &#x1f50e;大家好&#xff0c;我是黄桃罐头&#xff0c;希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流 &#x1f381;欢迎各位→点赞&#x1f44d; 收藏⭐️ 留言&#x1f4dd;​…

浅谈QT中Tab键的切换逻辑

浅谈QT中Tab键的切换逻辑 无意中发现在输入界面中按下Tab键时&#xff0c;没有按照预想的顺序切换焦点事件&#xff0c;如下图所示 这个现象还是很有趣&#xff0c;仔细观察了下&#xff0c;默认的切换顺序是按照控件拖入顺序&#xff0c;那么知道了这个问题想要解决起来就很简…

浅谈:中小企业如何实现数字化转型

【大家好&#xff0c;我是唐Sun&#xff0c;唐Sun的唐&#xff0c;唐Sun的Sun。一站式数智工厂解决方案服务商】 在当今数字化浪潮的冲击下&#xff0c;数字化转型已成为企业发展的必然趋势。对于中小企业而言&#xff0c;实现数字化转型并非易事&#xff0c;但也并非遥不可及。…

Conmi的正确答案——在Kibana中搜索Elasticsearch的索引

Elasticsearch版本&#xff1a;7.17.25 Kibana版本&#xff1a;7.17.25 0、进入首页 1、点击空间名“默”&#xff08;我的默认空间名就是“默认”&#xff09;&#xff1b; 2、点击气泡弹窗的“管理空间”进入管理页面&#xff1b; 3、点击“索引模式”&#xff0c;进入索引模…

AI时代的产品经理修炼手册:《人工智能产品经理》

内容简介&#xff1a;《人工智能产品经理&#xff1a;AI时代PM修炼手册》是一本专为AI时代产品经理编写的实用手册。作者张竞宇&#xff0c;凭借其在科大讯飞和阿里云的丰富经验&#xff0c;从人工智能产品的特殊性、产品经理的价值定位、技术理解等方面&#xff0c;全面阐述了…

11月3日笔记(根据凭据提权)

用户凭据操作 枚举 Unattended 凭据 无人值守(Unattended)安装允许应用程序在不需要管理员关注下自动安装。无人值守安装的问题是会在系统中残留一些配置文件&#xff0c;其中可能包含本地管理员的用户名和密码&#xff0c;常见的路径如下。 C:\sysprep.inf C:\syspreg\sysp…

Linux·进程控制(system V)

1. 共享内存 system V共享内存是最快的IPC形式&#xff0c;之前的管道是基于Linux内核开发的通讯方案&#xff0c;其读写接口都是现成的&#xff0c;因此内核设计者为了完成进程间通讯任务并不需要新增太多代码。而共享内存属于system V标准&#xff0c;是操作系统单独…