1

脆弱性スキャンに OWASP の ZAP ツールを使用しています。「安全なページ ブラウザ キャッシュ」の脆弱性に関するアラートが表示されます。以下は、ZAP アラートの詳細です。

リスク: 中 信頼性: 警告

説明: 安全なページをブラウザにキャッシュできます。HTTPヘッダーやHTMLヘッダーにはキャッシュ制御を設定しません。機密性の高いコンテンツは、ブラウザのストレージから復元できます。

解決策:最善の方法は、'Pragma: No-cache' および 'Cache-control: No-cache' を使用して HTTP ヘッダーを設定することです。別の方法として、次の方法で HTML ヘッダーに設定することもできます。ただし、一部のブラウザでは、この方法を使用すると問題が発生する場合があります。

この脆弱性が修正されていない場合にアプリケーションにどのような影響があるか、また攻撃者がこの脆弱性を利用してアプリケーションをハッキングする方法を教えてください。

4

1 に答える 1

1

問題は、非公開にしておくべき情報が、ブラウザのキャッシュ ディレクトリ内のファイルにアクセスできる人なら誰でも閲覧できることです。

これは、特に共有コンピュータで問題になります。キャッシュが適切に設定されていない場合、元のユーザーが安全な素材をホストしているサイトからログオフした後、共有コンピューターを使用しているすべてのユーザーがプライベート Web ページを表示できます。

これは、コンピューターにファイルを読み取ることができるマルウェアがある場合にも問題になる可能性があります。マルウェアは、ブラウザーのキャッシュから情報を収集し、コンピューターから転送することができます。

キャッシュ ヘッダーが正しく設定されていなくても、アプリケーションが誤動作することはありません。ただし、ユーザーの個人情報が悪用されるという結果にユーザーをさらす可能性があります。

于 2015-04-08T05:59:32.267 に答える