- 综合排序
- 最热优先
- 最新优先
ThinkPHP 3.2.3 缓存漏洞深度解析
漏洞影响版本范围:3.2.3漏洞分析ThinkPHP3.2.3版本的文件缓存驱动(Think\Cache\Driver\File)在set()方法中,将用户输入数据序列化后直接写入以.php结尾的缓存文件 漏洞复现在ThinkPHP3.2.3版本的标准控制器中使用I()辅助函数获取用户输入参数,并通过S()辅助函数S('name',$writeData)将其写入缓存文件。 传入参数为($name='name',$value='payload',$options=null),该调用绕过函数的前两个条件分支,直接执行Think\Cache::getInstance()以实例化缓存驱动类
29620编辑于 2025-12-06- 来自专栏安恒信息
漏洞预警 | CPU数据缓存机制存在设计缺陷
安全漏洞公告 近日,来自于谷歌Project Zero安全团队的安全研究人员等报告,在CPU内核中,存在关于数据缓存边界机制的设计缺陷的“Meltdown”、“Spectre”的两个漏洞,漏洞对应的CVE 漏洞编号分别为:CVE-2017-5754、CVE-2017-5753。 目前该漏洞的部分测试程序已经在互联网上公开:https://github.com/turbo/KPTI-PoC-Collection 安全漏洞描述 处理器数据缓存边界机制中存在一个缺陷,攻击者可以通过滥用 “Meltdown”漏洞攻击点可用于打破应用程序和操作系统之间的内存数据隔离,“Spectre” 漏洞攻击点则可用于打破不同程序之间的内存数据隔离。 上下文切换不会立即发生,会强迫处理器转储已缓存的数据、重新从内存中加载相关信息。
96981发布于 2018-04-10 - 来自专栏网络安全技术点滴分享
BIND缓存投毒漏洞CVE-2025-40778技术分析
概述CVE-2025-40778是一个存在于BIND DNS服务器中的缓存投毒漏洞,攻击者可在特定情况下通过未经请求的资源记录向DNS缓存注入伪造数据。 漏洞描述在特定情况下,BIND在从应答中接受记录时过于宽松,允许攻击者向缓存中注入伪造数据。 该漏洞影响以下BIND 9版本:9.11.0 至 9.16.509.18.0 至 9.18.39 9.20.0 至 9.20.139.21.0 至 9.21.129.11.3-S1 至 9.16.50 -S19.18.11-S1 至 9.18.39-S19.20.9-S1 至 9.20.13-S1技术详情漏洞基本信息发布日期: 2025年10月22日 16:15最后修改: 2025年10月22日 21 CAPEC-142: DNS缓存投毒漏洞时间线动作类型旧值新值新增描述漏洞描述内容新增CVSS V3.1AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N新增CWECWE-349新增参考
52510编辑于 2025-11-03 - 来自专栏网络安全技术点滴分享
WordPress LiteSpeed缓存插件漏洞:调试日志泄露导致会话Cookie劫持
CVE-2024-44000 概述CVE-2024-44000 是 LiteSpeed Cache WordPress 插件中的一个未经身份验证的账户接管漏洞。该插件目前拥有约 600 万活跃安装。 CVE-2024-44000 详解CVE-2024-44000 是 WordPress LiteSpeed Cache 插件中的一个关键漏洞,它允许攻击者通过从调试日志中窃取 Cookie 来实现未经身份验证的账户接管 此漏洞对使用此插件的 WordPress 安装构成了重大风险,尤其危害了机密性和访问控制。
10310编辑于 2026-01-23 - 来自专栏卓文见识
Web缓存欺骗中毒(DeceptionPoisoning)漏洞挖掘及实战案例全汇总
1、漏洞理解 1)web缓存机制 当下很多web系统使用web缓存功能来存储一些经常检索的文件,以减少Web服务器响应的延迟和减轻服务器上的负载。 2)缓存中毒 缓存中毒的攻击流程很简单,最相像的漏洞利用是CORS,即在正常请求中添加X-Forwarded-Host头,对于这个XFH头的解释: ? 4、漏洞挖掘 在挖掘web cache漏洞的时候首先要确定web系统架设了CDN,负载均衡器或反向代理等缓存设备,其次观察返回头是否设置缓存控制头Cache Control:no-cache,max-age 除此之外: 1)缓存欺骗 此漏洞存在需要满足两个条件: 1)Web缓存功能设置为通过URL的扩展名来判断是否进行缓存文件,且忽略任何缓存头。 5、漏洞防御 防御措施主要包括3点: 1)设置缓存机制,仅仅缓存httpcaching header允许的文件,推荐的防御手段; 2)如果缓存组件提供选项,设置为根据content-type进行缓存;
8.6K23发布于 2019-09-29 - 来自专栏Leetcode名企之路
【缓存】缓存穿透、缓存雪崩、缓存击穿
原文:https://www.cnblogs.com/raichen/p/7750165.htm 缓存穿透 概念 缓存穿透是指查询一个一定不存在的数据,由于缓存是不命中时需要从数据库查询,查不到数据则不写入缓存 缓存雪崩 概念 大量的key设置了相同的过期时间,导致在缓存在同一时刻全部失效,造成瞬时DB请求量大、压力骤增,引起雪崩。 解决办法 从业务层面。 可以给缓存设置过期时间时加上一个随机值时间,使得每个key的过期时间分布开来,不会集中在同一时刻失效。 缓存击穿(并发) 概念 高并发系统,如果一个缓存失效,存在多进程同时查询DB,同时更新缓存。 这对缓存和DB都是比较大的挑战。 解决办法 使用互斥锁(mutex key): 这种解决方案思路比较简单,就是只让一个线程构建缓存,其他线程等待构建缓存的线程执行完,重新从缓存获取数据就可以了(如下图) ?
2.9K20发布于 2018-10-25 - 来自专栏鳄鱼儿的技术分享
Redis缓存:缓存穿透、缓存击穿、缓存雪崩
☘️解决思路 思路一:由于缓存穿透是因为缓存没有生效,是否可以针对DB不存在的数据设置缓存空值,让请求到缓存就OK。缓存的有效时间可以设置短点,如30s,避免误伤正常业务。 缓存击穿 缓存击穿是指数据库有,缓存没有的数据,大量请求访问这个缓存不存在的数据,最后请求打到DB可能导致DB宕机。 思路三:保证热点数据在缓存中,可以设置热点缓存数据永不过期;或者采用定时任务去定时刷新缓存数据与过期时间,保证缓存数据存在。 缓存雪崩 缓存雪崩是指数据库有,缓存没有的数据,大量请求访问这些缓存不存在的数据,最后请求打到DB可能导致DB宕机。 缓存一致性 缓存一致性指的是缓存与DB之间的数据一致性,我们需要通过各种手段来防止缓存与DB不一致,我们要保证缓存与DB的数据一致或者数据最终一致。 ☘️解决思路 思路一:先删除缓存再更新数据。
1.1K10编辑于 2024-05-22 - 来自专栏Java知识图谱
Caffeine缓存 最快缓存 内存缓存
二、缓存简介 (一)缓存对比 从横向对常用的缓存进行对比,有助于加深对缓存的理解,有助于提高技术选型的合理性。下面对比三种常用缓存:Redis、EhCache、Caffeine。 :缓存都是使用内存作为存储媒介的,各种缓存服务的区别如下:Caffeine是内存型缓存是指缓存与调用者属于同一个应用,准确的说属于同一个JVM;Redis是指另外一个独立进程的内存型,缓存数据存储在Redis (二)本地缓存 本地缓存与分布式缓存对应,缓存进程和应用进程同属于一个JVM,数据的读、写在一个进程内完成。本地缓存没有网络开销,访问速度很快。 Caffeine是基于Guava Cache增强的新一代缓存技术,缓存性能极其出色。 1、Map JDK内置的Map可作为缓存的一种实现方式,然而严格意义来讲,其不能算作缓存的范畴。 若涉及多级缓存或者多种缓存共用,其它需要网络传输或者持久化的缓存需要序列化,Caffeine尽管也使用实现序列化的实体类,但是不做序列化操作。 不需要序列化,降低了缓存使用难度。
3.7K30编辑于 2022-01-21 - 来自专栏老铁丁D
缓存穿透,缓存雪崩,缓存击穿
缓存穿透 缓存穿透是指查询一个一定不存在的数据,即缓存和数据库中都没有的数据。 由于缓存不命中,并且出于容错考虑,如果从数据库查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到数据库去查询,失去了缓存的意义。 id=-1 查询一条id为-1的数据 如何解决缓存穿透 一:对查询不到的数据也做缓存处理,只是过期时间设置短一些! 缓存击穿 缓存击穿是指缓存中没有但数据库中有的数据(一般是缓存时间到期),这时由于并发用户特别多,同时读缓存没读到数据,又同时去数据库去取数据,引起数据库压力瞬间增大,造成过大压力 如何解决缓存击穿 一 ,但是缓存过期后,没有数据提供 如何解决缓存雪崩 分成事前,事中,事后三步骤 事前 一:错开设置过期时间(比如电商缓存商品可以对商品过期时间加一个随机因子,错开缓存过期时间) 发生缓存雪崩之前,事情之前
2.1K30编辑于 2022-08-12 - 来自专栏Java后端技术栈
缓存雪崩、缓存穿透、缓存预热、缓存更新、缓存降级等问题!
,今天给大家整理一篇关于Redis经常被问到的问题:缓存雪崩、缓存穿透、缓存预热、缓存更新、缓存降级等概念的入门及简单解决方案。 一、缓存雪崩 缓存雪崩我们可以简单的理解为:由于原有缓存失效,新缓存未到期间(例如:我们设置缓存时采用了相同的过期时间,在同一时刻出现大面积的缓存过期),所有原本应该访问缓存的请求都去查询数据库了,而对数据库 (2)还有一个解决办法解决方案是:给每一个缓存数据增加相应的缓存标记,记录缓存的是否失效,如果缓存标记失效,则更新数据缓存,实例伪代码如下: ? 解释说明: 1、缓存标记:记录缓存数据是否过期,如果过期会触发通知另外的线程在后台去更新实际key的缓存; 2、缓存数据:它的过期时间比缓存标记的时间延长1倍,例:标记缓存时间30分钟,数据缓存设置为60 三、缓存预热 缓存预热这个应该是一个比较常见的概念,相信很多小伙伴都应该可以很容易的理解,缓存预热就是系统上线后,将相关的缓存数据直接加载到缓存系统。
4.4K10发布于 2018-08-09 - 来自专栏IT云清
缓存穿透、缓存雪崩、缓存热点
摘要:本文主要讲解在使用缓存的过程中,经常出现的三个问题:缓存穿透、缓存雪崩、缓存热点。 1.概念 缓存穿透: 大多数缓存系统,都是以key-value的格式去存储数据的,当有个请求去查询某个key,但是这个key对应的value不存在,则这个请求就会到后端DB中查询;如果有人恶意去查询缓存中不存在的 缓存雪崩: 访问量很大的系统,一般都会用缓存服务,很多请求到达在缓存层拿到值后就返回了,这样有效的减轻了DB端的压力;但是如果,缓存服务挂掉了,那所有的请求都会直接打到DB层,数据库的压力瞬间就起来了, 这样DB很可能也挂掉了,这就是缓存雪崩。 缓存热点: 一般使用缓存时,策略如下:请求一个数据,如果缓存有,直接返回,如果缓存没有,就会去查询数据库,然后返回,同时,将此key和value缓存起来,设置一个过期时间;这样做有两个好处,不仅可以加快系统对外的响应速度
1.6K50发布于 2019-01-22 - 来自专栏前端说吧
HTTP缓存——协商缓存(缓存验证)
同时,客户端拿到新的资源及其修改时间与标识后,重新进行缓存。 概括如下图: 缓存验证 协商缓存就是缓存验证。 触发时机: 用户点击刷新按钮时会开始缓存验证。 如果缓存的响应头信息里含有"Cache-control: must-revalidate”的定义,在浏览的过程中也会触发缓存验证。 协商缓存中,就有很多这样的附带条件请求。 对应的字段,存储的是上次缓存的资源最终更新时间,也就是上次缓存资源时获取的Last-Modified的值。 下一次请求相同资源的时候,浏览器从自己的缓存中找出"不确定是否过期的"缓存。
3.3K10发布于 2021-08-25 - 来自专栏技术博文
Redis缓存雪崩、缓存穿透、缓存预热、缓存更新、缓存降级等问题
一、缓存雪崩 由于原有缓存失效,新缓存未到期间,比如我们设置缓存时采用了相同的过期时间,在同一时刻出现大面积的缓存过期,所有原本应该访 问缓存的请求都去查询数据库了,而对数据库CPU和内存造成巨大压力, (2)还有一个简单方案就时将缓存失效时间分散开。 二、缓存穿透 缓存穿透是指用户查询数据,在数据库没有,自然在缓存中也不会有。 这样就导致用户查询的时候,在 缓存中找不到,每次都要去数据库再查询一遍,然后返回空(相当于进行了两次无用的查询)。这样请求就绕过缓存直接查数据库,这也是经常提的缓存命中率问题。 三、缓存预热 缓存预热这个应该是一个比较常见的概念,相信很多人都应该可以很容易的理解,缓存预热就是系统上线后,将相关的缓存数据直接加载到缓存系统。 用户直接查询事先被预热的缓存数据 解决办法 (1)直接写个缓存刷新页面,上线时手工操作下; (2)数据量不大,可以在项目启动的时候自动进行加载; (3)定时刷新缓存; 四、缓存更新 除了缓存服务器自带的缓存失效策略之外
2.8K20发布于 2021-11-10 - 来自专栏Clive的技术分享
缓存穿透、缓存击穿、缓存雪崩概念及解决方案缓存穿透缓存雪崩缓存击穿
缓存穿透 概念 访问一个不存在的key,缓存不起作用,请求会穿透到DB,流量大时DB会挂掉。 解决方案 采用布隆过滤器,使用一个足够大的bitmap,用于存储可能访问的key,不存在的key直接被过滤; 访问key未在DB查询到值,也将空值写进缓存,但可以设置较短过期时间。 缓存雪崩 概念 大量的key设置了相同的过期时间,导致在缓存在同一时刻全部失效,造成瞬时DB请求量大、压力骤增,引起雪崩。 解决方案 可以给缓存设置过期时间时加上一个随机值时间,使得每个key的过期时间分布开来,不会集中在同一时刻失效。 缓存击穿 概念 一个存在的key,在缓存过期的一刻,同时有大量的请求,这些请求都会击穿到DB,造成瞬时DB请求量大、压力骤增。
3.6K80发布于 2018-04-19 - 来自专栏全栈程序员必看
Redis的缓存雪崩、缓存击穿、缓存穿透与缓存预热、缓存降级
② 分级缓存:第一级缓存失效的基础上,访问二级缓存,每一级缓存的失效时间都不同。 ③ 热点数据缓存永远不过期。 缓存的高可用,防止Redis宕机导致缓存雪崩的问题。 二、缓存击穿: 1、什么是缓存击穿: 缓存击穿跟缓存雪崩有点类似,缓存雪崩是大规模的key失效,而缓存击穿是某个热点的key失效,大并发集中对其进行请求,就会造成大量请求读缓存没读到数据,从而导致高并发访问数据库 而对于空数据的key有限的,重复率比较高的,则可优先采用第一种方式进行缓存。 四、缓存预热: 1、什么是缓存预热: 缓存预热是指系统上线后,提前将相关的缓存数据加载到缓存系统。 五、缓存降级: 缓存降级是指缓存失效或缓存服务器挂掉的情况下,不去访问数据库,直接返回默认数据或访问服务的内存数据。降级一般是有损的操作,所以尽量减少降级对于业务的影响程度。
1.9K20编辑于 2022-06-29 - 来自专栏搜云库技术团队
Redis缓存雪崩、缓存击穿、缓存穿透 及 常见缓存模式
一、缓存雪崩 1、什么是缓存雪崩? 如果缓存集中在一段时间内失效,发生大量的缓存穿透,所有的查询都落在数据库上,造成了缓存雪崩 由于原有缓存失效,新缓存未到期间所有原本应该访问缓存的请求都去查询数据库了,而对数据库CPU和内存造成巨大压力 可以通过缓存reload机制,预先去更新缓存,再即将发生大并发访问前手动触发加载缓存不同的key 3、双层缓存策略 C1为原始缓存,C2为拷贝缓存,C1失效时,可以访问C2,C1缓存失效时间设置为短期, C2设置为长期 4、定时更新缓存策略 实效性要求不高的缓存,容器启动初始化加载,采用定时任务更新或移除缓存 5、设置不同的过期时间,让缓存失效的时间点尽量均匀 二、缓存击穿 1、什么是缓存击穿? 后面的线程进来发现已经有缓存了,就直接走缓存 三、缓存穿透 1、什么是缓存穿透? 缓存穿透是指用户查询数据,在数据库没有,自然在缓存中也不会有。
1.9K40发布于 2019-11-21 - 来自专栏JAVA杂谈
缓存穿透、缓存击穿和缓存雪崩
作者 | xiaowei123 出处 | https://0x9.me/Lg9yp 在Redis缓存中有三个必须要知道概念:「缓存穿透、缓存击穿和缓存雪崩。」 缓存穿透 什么是缓存穿透呢? o(╥﹏╥)o 一般我们可以想到从缓存开始出发,想如果我们给缓存设置一个如果当前数据库不存在的信息,把它缓存成一个空对象,返回给用户。 「那接下来,二哈先解释下这两种方案:」 缓存空对象 缓存空对象它就是指一个请求发送过来,如果此时缓存中和数据库都不存在这个请求所要查询的相关信息,那么数据库就会返回一个空对象,并将这个空对象和请求关联起来存到缓存中 这时候,我们就会问了呀 ~,如果大量不存在的请求过来,那么这时候缓存岂不是会缓存许多空对象了吗~~~ 没错哦! 「(2)限流降级」 在缓存失效后,通过加锁或者队列来控制读数据库写缓存的线程数量,对某个key只允许一个线程查询数据和写缓存,其他线程等待。
1.9K31发布于 2020-11-05 - 来自专栏小明说Java
Redis缓存雪崩、缓存穿透、缓存击穿
缓存雪崩(数据库有,缓存没有) 缓存雪崩是指缓存同一时间大面积的失效,所以,后面的请求都会落到数据库上,数据库CPU和内存造成巨大压力,造成数据库短时间内承受大量请求而崩掉。 解决方案: (1)缓存数据的过期时间设置随机,防止同一时间大量数据过期现象发生。 (2)给每个缓存的数据增加相应的缓存标记,记录缓存是否失效,如果缓存标记失效,则更新数据缓存。 (3)缓存预热。 重启服务时,先通过接口将热点数据存入缓存中 (4)互斥锁缓存穿透(数据库没有,缓存没有,场景一般来自攻击,高并发请求) 缓存穿透是指缓存和数据库中都没有数据,导致所有的请求都落在数据库上,造成数据库短时间内承受大量请求而蹦掉 缓存击穿(数据库有,缓存没有) 缓存击穿是指缓存中灭有但数据库中有的数据(一般是缓存时间到期)。与缓存雪崩不同的是,缓存击穿指并发查同一条数据。
88020编辑于 2023-11-21 - 来自专栏月梦·剑心的技术专栏
缓存击穿、缓存穿透与缓存雪崩
缓存是计算机系统中应用非常广泛的技术,最经典的,操作系统中处处是缓存,缓存可以大大提升数据访问速率。 引入缓存之后又会面临三个新的问题,即缓存击穿、缓存穿透以及缓存雪崩。 当返回空对象的请求到达时,缓存一个空对象,这样下一次同样的请求到达,就会查询缓存,而不会访问后端数据库。缺点就是,如果缓存大量空对象,占用了缓存的空间。 布隆过滤器。 缓存雪崩 缓存雪崩是指为一批缓存key设置了相同的过期时间,那么当这个过期时间到达时,这些缓存key同时失效,从而导致大量的访问涌入后端数据库,造成后端数据库压力陡然增大,形成缓存雪崩。 有两种情况会造成缓存雪崩: 多个缓存key同时过期 缓存系统宕机 如何解决缓存雪崩? 解决大批key同时过期: 设置多级缓存,这样即使缓存失效或者多个缓存key同时过期,也不会造成缓存雪崩.
63210编辑于 2023-12-05 - 来自专栏Node开发
Redis缓存击穿、缓存穿透、缓存雪崩
上篇文章谈到了Redis分布式锁,实际上就是为了解释为什么做缓存采用Redis而不使用map/guava。缓存分为本地缓存和分布式缓存。 使用 Redis 作缓存称为分布式缓存,在多实例状态下共用一份缓存数据,缓存具有一致性。所以说在分布式下最合适的缓存方案就是采用Redis实现分布式缓存。 缓存击穿 讲完了Redis的key的过期淘汰机制,接下我们可以进入正题:为什么会出现缓存击穿、缓存穿透和缓存雪崩现象呢? 缓存穿透 定义:缓存穿透是指查询缓存和DB中都不存在的数据。 缓存雪崩 定义:缓存中如果大量缓存在一段时间内集中过期了,这时候会发生大量的缓存击穿现象,所有的请求都落在了DB上,由于查询数据量巨大,引起DB压力过大甚至导致DB宕机。
2.2K30发布于 2019-09-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号