Главная » Изучение

Отравление веб-кэша

Отравление веб-кэша Изучение
На чтение 3 мин Просмотров 112 Опубликовано

Отравление веб-кэша — это атака на систему кэширования браузера, предоставляющая пользователю устаревший или устаревший контент. Это акт внедрения вредоносного кода в данные, которые доставляются через Интернет рекламной сетью, и обманом заставляет их отображать ложное сообщение об ошибке или опечатку. Это может произойти, когда хакеры используют своих ботов для запроса множества графических изображений с одного веб-сайта, внедряя отравленный HTML -код, который вызывает ошибки на вашей веб-странице.

Содержание
  1. Работающий
  2. Пример
  3. Причина отравления веб-кэша
  4. Предотвращение отравления кэшем
  5. Контрмеры

Работающий

Отравление веб-кэша — это атака на систему кэширования браузера, предоставляющая пользователю устаревший или устаревший контент. Это акт внедрения вредоносного кода в данные, которые доставляются через Интернет рекламной сетью, и обманом заставляет их отображать ложное сообщение об ошибке или опечатку. Это может произойти, когда хакеры используют своих ботов для запроса множества графических изображений с одного веб-сайта, внедряя отравленный HTML-код, который вызывает ошибки на вашей веб-странице.

Пример

Если серверу необходимо отправлять новые ответы на отдельные HTTP-запросы по отдельности, он может перегрузить сервер, вызывая проблемы с задержкой, особенно в часы пик, и ухудшая работу пользователя. Кэширование — это, прежде всего, средство уменьшения таких проблем. Кэш находится между сервером и пользователем и обычно хранит (кэширует ) ответ на конкретный запрос в течение заданного периода времени. Затем, когда другой пользователь отправляет эквивалентный запрос, кеш предоставляет пользователю копию кэшированного ответа напрямую, без вмешательства серверной части. Это уменьшает количество повторяющихся запросов, которые приходится обрабатывать серверу, и значительно снижает нагрузку на сервер.

Причина отравления веб-кэша

Отравление веб-кэша происходит, когда веб-сайт не использует безопасный метод для отображения кэшированных результатов или если он использует безопасные методы, но по какой-то причине ссылка на изображение, которое кажется кэшированным, а затем не появляется после определенного периода времени. время. Это также может произойти, когда содержимое веб-страницы изменяется, и веб-браузеры не могут обнаружить изменение содержимого, поэтому они продолжают обслуживать свою старую кэшированную версию веб-страницы вместо новой.

Читайте также:  Что такое черный список URL-адресов Google? (Удалите свой сайт из черных списков за 3 шага)

Предотвращение отравления кэшем

Вы можете предотвратить уязвимость вашего веб-сайта к отравлению веб-кэша, выполнив следующие простые шаги:

  • Всегда убедитесь, что ваш сайт хорошо оптимизирован, чтобы кэширование приводило к более быстрой загрузке страниц, а не к сообщениям об ошибках, когда люди обновляют или пытаются получить доступ к вашей странице. Также убедитесь, что на вашем сайте есть изображения, которые хорошо оптимизированы для производительности.
  • Когда вы изменяете содержимое своих страниц, обязательно удалите все кешированные версии.
  • Никогда не используйте одно и то же изображение снова и снова в своих сообщениях в блоге, так как это облегчит работу отравления веб-кэша на вашем сайте.
  • Используйте плагин кэширования, который предоставляется WordPress, чтобы, если кто-то получил ошибку при доступе к вашему веб-сайту, он смог увидеть более старую версию страницы, которую вы сделали доступной через кешированную версию. Это также может быть полезно при попытке исправить проблемы с кэшированием браузером сообщений в блоге или на веб-сайте, не беспокоясь о том, что посетители увидят поврежденные изображения или старый контент из предыдущих версий ваших страниц.

Контрмеры

  • Многие веб-серверы уязвимы для атак с отравлением кеша из-за неправильного обращения с типом контента и невозможности учесть длину кэшированного ответа.
  • Для успешной атаки с отравлением кеша злоумышленник должен иметь возможность отправлять HTTP-запросы с поддельным полем заголовка пользовательского агента.
  • Чтобы этого не произошло, вы должны включить проверку на стороне клиента на своем веб-сайте, чтобы ваш сайт проверял, что запрос исходит из браузера, которому он доверяет.
  • Одни только заголовки Content-Type оказались недостаточными для предотвращения атак с отравлением кеша.
Оцените статью
bestprogrammer.ru
Добавить комментарий

© 2024 bestprogrammer.ru
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.