新型缓存污染攻击针对受 CDN 保护的网站( 六 )
“
但使用 CDN77 的网站如果源服务器配置错误 , 或提供了引发可缓存错误信息页的方法 , 就扛不住 CPDoS 攻击了 。 这不在缓存服务控制范围之内 , 是服务拥有者自己的责任 。
研究团队已于 2019 年 2 月 19 日将此发现报告给了受影响 HTTP 实现厂商和缓存提供商 。 AWS 团队证实 CloudFront 存在漏洞 , 通过默认禁止缓存状态码 400 Bad Request 出错信息页解决了该问题 。
微软也承认存在该问题 , 并在其 2019 年 6 月安全更新中修复了此编号 CVE-2019-0941 的漏洞 。
Play Framework 同样证实了该问题 , 通过在 1.5.3 和 1.4.6 版 Play Framework 中限制 X-HTTP-Method-Override 头的影响 , 修复了其产品 。
但包括 Flask 在内的其他受影响供应商 , 尽管联系多次 , 却一直未回应研究人员 。
推荐阅读
- 迷你世界|迷你世界喷漆玩法上线,KS羊纸直言很有趣:这是新型的打招呼方式
- 石昊|完美世界:石国最可惜的王侯,本有望成为石皇,却被一把血尺污染
- 吃鸡游戏|“吃鸡”宠物系统新消息!新型宠物被大神曝光,或后期上线!
- 袁术|三国志战略版: 新型核弹袁术有机会秒掉陆逊、姜维,重新回到巅峰
- 原神|原神:稻妻海域受高浓度雷元素污染持续掉血,被指暗示日本核废水
- 明日方舟|原神刻晴之后,明日方舟也来了个ke师傅,弱到被怼污染了卡池
- dota2|梦幻西游:钟灵石交易的新型骗术,正在交易的灵饰可吸附灵饰特性
- 热血传奇|热血传奇:GM又刷极品装备?官方吃相太难看,污染最后一片净土!
- 手机游戏|梦幻西游手游:龙宫走下神坛原因揭秘!什么?竟和海水污染有关?
- 王者荣耀|王者荣耀S22赛季的“光污染”终于结束,17日专项优化来了