检测

Web 缓存中毒拒绝服务

high Web App Scanning 插件 ID 114006

语言:

简介

Web 缓存中毒拒绝服务

描述

已在应用程序上检测到缓存系统,该系统容易遭受 Web 缓存中毒攻击。通过操控特定未加密的输入(生成缓存密钥时未包含的标头或 Cookie),可以强制缓存系统缓存包含用户控制的输入的响应。如果在共享 Web 缓存(例如代理服务器中常见的缓存)中缓存了响应,则在清除缓存条目之前,该缓存的所有用户将继续收到恶意内容。在此情况下,受影响的资源将无法访问,根据资源的不同,则可能会造成 DoS(拒绝服务)。

请注意,扫描程序执行的安全检查不会影响网站访问者,而只会影响扫描程序本身。

解决方案

禁用受影响的输入或页面的缓存。如果需要受影响的输入和缓存行为,则请配置缓存以确保缓存密钥中包含输入。

另见

https://cpdos.org/

https://i.blackhat.com/us-18/Thu-August-9/us-18-Kettle-Practical-Web-Cache-Poisoning-Redefining-Unexploitable.pdf

https://owasp.org/www-community/attacks/Cache_Poisoning

插件详情

严重性: High

ID: 114006

类型: remote

发布时间: 2023/8/30

最近更新时间: 2024/4/23

扫描模板: api, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: High

基本分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 分数来源: Tenable

参考资料信息