缓存控制:私有HTTP标头和主体是否应该将此报告为安全问题?

问题描述

背景:

我正在阅读OWASP testing guide for web applications

会话ID永远不要通过未加密的传输发送,也永远不要缓存。

...

此外,每当传递会话ID时,伪指令应为 可以防止中间和本地缓存对其进行缓存

...

虽然Cache-Control:Private似乎是一个合适的指令,但这仍然允许非共享 代理以缓存数据。对于网吧或其他共享系统,这将带来明显的风险。即使对于单用户工作站,缓存的会话ID可能也会通过文件系统或使用网络存储的位置被泄露

场景:

我正在测试一个Web应用程序。当我使用burp读取请求时,每个请求都只设置了Cache-Control: private指令。据我了解,该指令允许浏览器缓存HTTP请求标头和正文的内容。

实际上,使用Firefox about:cache我可以读取HTTP请求标头(包含ASPsessionid cookie值)和正文。

我想象一种情况,攻击者靠近受害者并且可以访问同一台计算机。

何时以及如何报告?

解决方法

暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!

如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@)

相关问答

Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其...
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。...
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbc...