回答情况:
提问时间:
问题标签:
1回答
在Android中,我正在执行SSL固定(验证每个网络调用中/之前来自服务器的证书)--它的工作非常好,但是在iOS中,有一个TLS会话缓存在第一次网络调用之后缓存证书有效性。对于第一次网络调用,证书验证部分工作正常,对于第二次调用,操作系统使用缓存,我无法验证证书。我的QA团队可以轻松地攻击和获取网络呼叫中的所有数据,用于第二次和连续的网络呼叫。以下是的参考资料。似乎没有办法以编程方式清除缓存ref:。
浏览 5修改于2014-07-25得票数 6
回答已采纳
我正在使用OWASP的ZAP工具进行漏洞扫描,它显示了对“安全页面浏览器缓存”漏洞的警报。以下是ZAP警报的详细信息:Description:安全页面可以在浏览器中缓存。缓存控制不是在HTTP头或HTML头中设置的。敏感内容可以从浏览器存储中恢复。如果应用程序未修复,请告诉我此漏洞将如何影响它,以及攻击者如何使用该漏洞攻击应用程序。
浏览 3修改于2016-07-24得票数 1
使用MSMQ时,默认情况下连接缓存处于禁用状态。启用MSMQ连接缓存会显著提高队列吞吐量(~10倍)。// Therefore, disable it by default潜在的安全漏洞是什么
浏览 1提问于2015-12-31得票数 4
每当Android Market Licensing ping服务器返回GRANT_ACCESS pong时,我都会缓存用户的身份验证。 editor.putString(OBFU_ACCESS_KEY,obfu); }
然后,我使用另一种方法检查缓存内容的状态
浏览 1修改于2014-08-18得票数 7
回答已采纳
如果我将SSD作为LVM缓存添加到该卷组中,那么缓存设备上的所有数据都是加密的吗?
确认缓存内容的工具的奖励点。
浏览 0提问于2020-10-28得票数 6
回答已采纳
我测试了一个应用程序是否存在此漏洞,并且可能存在一些请求,但是开发人员实现了无缓存、无存储标志,并且该漏洞没有密码重置请求。
因此,首先,不会有缓存中毒,其次,它不会发生在密码重置请求。由于我了解到要利用此漏洞,我将更改主机标头。所以我想知道为什么会是一个漏洞?用户为什么要更改应用程序的主机?攻击者如何利用它呢?
浏览 0修改于2017-12-20得票数 3
回答已采纳
如果不涉及缓存服务器,是否可以利用网络缓存欺骗漏洞?如果我们没有使用缓存服务器或CDN为应用程序服务,那么应用程序是否仍然易受攻击--例如,如果使用应用程序的客户端网络有一个缓存服务器为其用户服务?背景:我们的webapp扫描器(Netsparker)检测到了内部应用程序的Web缓存欺骗漏洞,并将严重性标记为关键。由于该web服务器与其用户之间没有web缓存服务器,因此倾向于将严重性调整为中等或低级别。
浏览 0提问于2020-09-01得票数 1
1回答
我测试了一个应用程序是否存在此漏洞,并且可能存在一些请求,但开发人员实现了无缓存、无存储标志,并且该漏洞未处于密码重置请求中。
所以第一件事是不会有缓存中毒。第二,在密码重置请求中没有发生这种情况。正如我所理解的那样,为了利用这个漏洞,我更改了主机头。所以我想知道为什么它会是一个漏洞,为什么用户会改变应用程序的主机?攻击者如何利用它呢?
浏览 6提问于2017-12-19得票数 2
回答已采纳
1回答
显然,Tornado很容易受到代理缓存中毒的影响。 如果我在Streamlit配置文件中禁用缓存设置,会减轻它吗?如果没有,是否有办法避免该漏洞带来的任何风险?谢谢。
浏览 55提问于2021-02-09得票数 1
在描述的spectre漏洞中,我们可以看到它谈到了这个特定的漏洞 y = array2[array1[x] * 256];
根据这篇论文,在spectre漏洞中,他们首先传递x的许多合法值,以便分支预测器得到训练,并开始推测下一条语句,即开始执行y = array2[array1[x] * 256];。在足够长的迭代之后,当分支预测器被训练时,恶意的x值被传递,在这种情况下,处理器开始推测性地执行y = array2[array1[x] * 256];,并且这次它将array1[x]加载
浏览 6修改于2018-03-04得票数 3
我在我的公开/公共WiFi上看到了以下漏洞。这是一个为客户提供互联网访问的Linux盒,我使用dnsmasq作为DNS服务器。如何减轻此漏洞?此处提到了该漏洞:https://www.tenable.com/plugins/nessus/12217。
浏览 0修改于2018-07-16得票数 2
回答已采纳
我想在缓存CREATE SEQUENCE serial CACHE 100中使用postgres序列。问题是,我正在进行密集的自动标度,每次连接断开时,连接都会被断开和重新连接,偶尔会在顺序中留下未使用in的“漏洞”。
好消息是,我正在使用带有事务池模式的。我的问题是:事务池模式会解决我描述的“漏洞”问题吗?它会重用会话吗?下一个应用程序连接将从池中获取这个会话并继续使用序列的缓存吗?
浏览 2修改于2016-10-29得票数 4
回答已采纳
我正在使用Django为我的雇主创建一个简单的网站,我不得不通过安全扫描运行代码来测试漏洞。其中一个问题是cookie漏洞,我可以找到要查找的文档。
曲奇可以被缓存可缓存的cookie :可缓存的cookie可以缓存在代理或网关上。
浏览 2修改于2016-08-04得票数 2
我理解漏洞(幽灵)以及理论上PoC所做的事情。但是,当PoC在86-108行之间从缓存中读取或标识数据时,我不理解它的部分。我知道PoC通过测量从*addr读取数据的时间(在l. 90)从缓存读取数据,但是results[]有什么练习,以及为什么mix_i在表示缓存命中地址的字节时击中缓存?
浏览 0提问于2018-01-11得票数 2
回答已采纳
我想知道HTML5缓存声明的网络部分有什么用途?
我想知道为什么需要这样做。是否不会缓存缓存清单的显式部分中未列出的文件?
浏览 4修改于2010-07-19得票数 2
作为Postgres的新手,我有一个关于缓存的问题。我不知道有多少是由数据库处理的,而不是我自己需要处理多少。我想知道的是: Postgres单独执行多少缓存?如果我有一个返回第3、4、5、6行的查询,而我的下一个查询返回4、5、6、7,那么第
浏览 4提问于2021-09-01得票数 1
回答已采纳
我正在寻找一个简单、完整、简洁的缓存列表,您将在使用Hibernate编写JPA时遇到这些缓存。特别是,我想知道每个缓存的生命周期(缓存何时失效),缓存的范围,清除缓存的方法(如果有),缓存的内容,缓存是否默认打开,如何打开/关闭它,以及任何有用的信息。我计划以社区维基的身份来回答这个问题,但我仍然不知道所有的答案,所以会有一些漏洞需要填补。
浏览 0提问于2011-01-31得票数 11
回答已采纳
3回答
我正在考虑使登录页面可缓存的相对好处/缺点。请注意,这里我指的是包含用户输入用户名和密码的表单的页面。当然,它没有添加任何针对SSL剥离的保护(出于缓存目的,HTTP页面被视为与HTTPS时代分离的实体)。这会不会影响从本地缓存加载页面的所有好处?我确实找到了本报告,它断言缓存登录页面是一个漏洞,理由是“不建议允许web浏览器保存任何登录信息,因为当存在漏洞时,该信息可能会受到破坏”--但是,在发送到浏览器之前,登录页面肯定是我们不想预先填充的一种形式它不会通过浏览器缓
浏览 0提问于2014-01-28得票数 5
回答已采纳
我试着在Android设备上做漏洞评估。我想知道,在root权限下,是否有一种方法可以查看保存在Android键盘缓存中的所有单词(输入时建议的所有单词)。
浏览 5提问于2017-08-17得票数 2
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号