结合X-Forwarded-Host和X-Original-URL头实现Web缓存投毒

免责声明： 本文描述的技术仅限道德使用和教育目的。在未经授权的环境之外使用这些方法是被严格禁止的，因为这是非法的、不道德的，并可能导致严重后果。必须负责任地行动，遵守所有适用法律，并遵循既定的道德准则。任何利用安全漏洞或危害他人安全、隐私或完整性的活动都是严格禁止的。

目录

• 漏洞概述
• 复现步骤和概念验证（PoC）
• 影响分析

漏洞概述

该场景展示了一种Web缓存投毒攻击，该攻击依赖于串联两个独立的弱点：X-Forwarded-Host和X-Original-URL头。通常，Web缓存投毒发生在攻击者能够操纵服务器响应，使其存储在缓存层时…

创建账户阅读完整故事。作者仅向Medium会员开放此内容。如果您是Medium新用户，请创建新账户免费阅读此故事。