网络缓存欺骗-可利用没有缓存服务器？

Question

如果不涉及缓存服务器，是否可以利用网络缓存欺骗漏洞？

如果我们没有使用缓存服务器或CDN为应用程序服务，那么应用程序是否仍然易受攻击--例如，如果使用应用程序的客户端网络有一个缓存服务器为其用户服务？

背景:我们的webapp扫描器(Netsparker)检测到了内部应用程序的Web缓存欺骗漏洞，并将严重性标记为关键。由于该web服务器与其用户之间没有web缓存服务器，因此倾向于将严重性调整为中等或低级别。

Answer 1

看上去可能是假阳性？你能手动复制这个问题吗？

Web缓存中毒可能在没有缓存服务器或CDN的情况下发生，因为某些应用程序具有内部缓存机制。

Drupal通常用于第三方缓存(如Varnish )，但它还包含默认启用的内部缓存。

来源：实用缓存中毒