:::info 可以这么说这是一个非常神奇的攻击, 如果你想要提高自己不妨尝试

:::

区别

• 缓存中毒: 攻击者在应用程序缓存中存储与一些恶意内容,这些内容会从缓存中提高给应用程序的其他用户
• 缓存欺骗: 攻击者使应用程序在缓存中存储属于其他用户的内容,然后攻击者从缓存中获取这些数据

缓存中毒

缓存中毒的目的是使客户加载由攻击者控制的意外资源

poisoned response (毒化响应)仅仅会提供给访问受影响页面(缓存中毒) 的用户, 因此该影响的范围只在于页面是否被欢迎.

当我们要执行缓存中毒攻击时,我们首先应该识别未加密的输入, （不需要出现在缓存请求中但会改变返回页面的参数），了解如何滥用该参数并获取已缓存的响应

发现

HTTP Header

通常来说当我们收到存储在缓存中的响应时,我们会得到一个 HTTP Header, 我们可以在这里查看我们应该关注的 HTTP Header HTTP Header