安全页面浏览器缓存漏洞如何使Web应用程序安全?

时间:2015-04-08 05:41:56

标签: http caching http-headers owasp penetration-testing

我正在使用OWASP的ZAP工具进行漏洞扫描,它显示了对安全页面浏览器缓存的警告"漏洞。以下是ZAP警报的详细信息:

风险:中等 可靠性:警告

说明:可以在浏览器中缓存安全页面。缓存控件未在HTTP标头或HTML标头中设置。敏感内容可以从浏览器存储中恢复。

解决方案:最好的方法是将HTTP标头设置为:' Pragma:No-cache'和'缓存控制:无缓存'。 或者,可以通过以下方式在HTML标头中设置:     但是有些浏览器在使用这种方法时可能会遇到问题。

是否可以告诉我这个漏洞如何影响我的应用程序,如果它没有修复,以及攻击者如何使用它来破解应用程序。

1 个答案:

答案 0 :(得分:1)

问题是任何有权访问浏览器缓存目录中文件的人都可以查看应该保密的信息。

这是共享计算机的问题。如果未正确设置缓存,则在原始用户注销托管安全材料的网站后,使用共享计算机的任何人都可以查看私人网页。

如果计算机具有可以读取文件的恶意软件,这也可能是一个问题。恶意软件可以从浏览器缓存中收集信息并将其从计算机上传输。

如果未正确设置缓存标头,您的应用程序将不会出现故障。但是,您可能会使用户面临其私人信息被滥用的后果。