如何解决缓存控制:私有HTTP标头和主体是否应该将此报告为安全问题?
背景:
我正在阅读OWASP testing guide for web applications
会话ID永远不要通过未加密的传输发送,也永远不要缓存。
...
此外,每当传递会话ID时,伪指令应为 可以防止中间和本地缓存对其进行缓存
...
虽然Cache-Control:Private似乎是一个合适的指令,但这仍然允许非共享 代理以缓存数据。对于网吧或其他共享系统,这将带来明显的风险。即使对于单用户工作站,缓存的会话ID可能也会通过文件系统或使用网络存储的位置被泄露
场景:
我正在测试一个Web应用程序。当我使用burp读取请求时,每个请求都只设置了Cache-Control: private
指令。据我了解,该指令允许浏览器缓存HTTP请求标头和正文的内容。
实际上,使用Firefox about:cache
我可以读取HTTP请求标头(包含ASPsessionid
cookie值)和正文。
我想象一种情况,攻击者靠近受害者并且可以访问同一台计算机。
何时以及如何报告?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。