问可缓存的HTTPS响应CVSS
EN

Security用户

提问于 2020-09-25 09:45:51

回答 1查看 494关注 0票数 0

应用程序应返回缓存指令，指示浏览器不要存储任何敏感数据的本地副本。

我应该将哪个CVSS向量分配给使用Cache-Control: private的web应用程序(也可以使用sessionID和带有个人敏感信息的页面)？

回答已采纳

发布于 2020-09-25 11:05:51

我认为这是合适的：CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

如果应用程序响应中的敏感信息存储在本地缓存中，则以后访问同一台计算机的其他用户可能会检索该信息。

除非您有另一个漏洞来访问计算机，否则您将需要物理访问。这是相当容易做到，不需要公关或用户界面。让我知道你的想法。

票数 1

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/238788

复制

相似问题

问可缓存的HTTPS响应CVSSEN