缺少“Cache-Control”标头
low Web App Scanning 插件 ID 112553
语言:
简介
缺少“Cache-Control”标头描述
HTTP“Cache-Control”标头用于指定缓存机制的指令。服务器未返回或返回了无效的“Cache-Control”标头,这意味着包含敏感信息(密码、信用卡、个人数据、社会安全号码等)的页面可能会被存储在客户端磁盘上,并可能暴露给未经授权的人员。此 URL 被标记为特定示例。
解决方案
将 Web 服务器配置为包含带有适当指令的“Cache-Control”标头。如果页面包含敏感信息,“Cache-Control”值应为“no-store”,且“Pragma”标头值应为“no-cache”。另见
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control
https://www.owasp.org/index.php/Testing_for_Browser_cache_weakness_(OTG-AUTHN-006)
插件详情
严重性: Low
ID: 112553
类型: remote
发布时间: 2019/2/15
最近更新时间: 2024/3/25
扫描模板: api, basic, config_audit, full, overview, pci, quick, scan
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.7
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
参考资料信息
CWE: 525
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A4
WASC: Application Misconfiguration
CAPEC: 37
DISA STIG: APSC-DV-002480
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-8.2.1
PCI-DSS: 3.2-2.2