1

我正在使用 OWASP 的 ZAP 工具进行漏洞扫描,它显示“安全页面浏览器缓存”漏洞的警报。以下是 ZAP 警报的详细信息:

风险:中等 可靠性:警告

描述:安全页面可以缓存在浏览器中。HTTP 标头和 HTML 标头中均未设置缓存控制。敏感内容可以从浏览器存储中恢复。

解决方案:最好的方法是设置 HTTP 标头:'Pragma: No-cache' 和 'Cache-control: No-cache'。或者,这可以通过以下方式在 HTML 标头中设置:但某些浏览器使用此方法可能会遇到问题。

你能告诉我这个漏洞如果不修复将如何影响我的应用程序,以及攻击者将如何使用它来破解应用程序。

4

1 回答 1

1

问题是任何有权访问浏览器缓存目录中文件的人都可以查看应该保密的信息。

这是一个问题,尤其是共享计算机。如果未正确设置缓存,则在原始用户注销托管安全材料的站点后,使用共享计算机的任何人都可以查看私人网页。

如果计算机具有可以读取文件的恶意软件,这也可能是一个问题。该恶意软件可以从浏览器缓存中收集信息并将其传输到计算机之外。

如果缓存标头设置不正确,您的应用程序不会发生故障。但是,您可能会使您的用户面临其私人信息被滥用的后果。

于 2015-04-08T05:59:32.267 回答