网页浏览器缓存漏洞如何使web应用程序处于安全状态？

Question

我正在使用OWASP的ZAP工具进行漏洞扫描，它显示了对“安全页面浏览器缓存”漏洞的警报。以下是ZAP警报的详细信息：

风险:中等可靠性:警告

Description：安全页面可以在浏览器中缓存。缓存控制不是在HTTP头或HTML头中设置的。敏感内容可以从浏览器存储中恢复。

解决方案：最好的方法是设置header：'Pragma: No-cache‘和'Cache-control: No-cache’。或者，这可以通过:在HTML头中设置，但是有些浏览器使用这种方法可能会有问题。

如果应用程序未修复，请告诉我此漏洞将如何影响它，以及攻击者如何使用该漏洞攻击应用程序。

Answer 1

问题是，任何访问浏览器缓存目录中文件的人都可以查看应该保持私有的信息。

这是一个问题，特别是共享计算机。如果缓存设置不正确，那么使用共享计算机的任何人都可以在原始用户注销承载安全材料的站点后查看私有网页。

这也可能是一个问题，如果计算机有恶意软件，可以读取文件。恶意软件可以从浏览器缓存中收集信息并将其从计算机上传输出去。

如果缓存头设置不正确，应用程序不会发生故障。但是，您可能会让用户暴露他们的私密信息被滥用的后果。