文章总结： 本文介绍了Web缓存欺骗漏洞测试前的一个关键步骤：破坏缓存以确保获取服务器实时响应。文章指出，若请求相同，服务器可能返回缓存内容，导致测试失败。为解决此问题，可通过在URL后添加随机参数（如?dummy=123）使每次请求唯一化。文章还推荐使用BurpSuite的ParamMiner插件，通过其’Adddynamiccachebuster’功能自动化这一过程，从而高效地进行后续的漏洞探测。 综合评分： 83 文章分类： WEB安全,渗透测试,漏洞分析,安全工具

“缓存欺骗第二章第二节”攻击开始前的必备要素-破坏缓存

原创

升斗安全XiuXiu

升斗安全

2025年12月13日 17:39 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

我们想测试一个网站是否存在“Web缓存欺骗”漏洞。简单来说，这个漏洞能让你看到本该属于其他用户的缓存页面。

但在做到这个事情之前，有个关键步骤需要提前做好的，就是：避免请求被缓存

原因：如果你连续发送的请求看起来一模一样，网站服务器可能会直接把之前缓存的旧结果返回给你，你就看不到真实、新鲜的反应了。

操作方法：你需要让每个请求看起来都“独一无二”。服务器通常是根据整个网址（包括问号?后面的参数） 来判断请求是否相同的。

具体操作：你可以在网址后面，手动加一个没用的参数，比如 ?dummy=123，然后每次请求都改变这个数字（如 ?dummy=456）。这样服务器就会认为每次都是新请求，去获取最新的结果。

如何自动化这个繁琐的过程？

你可以使用 Burp Suite 的一个叫 Param Miner 的插件来帮你自动完成这个“加参数”的动作。

安装好 Param Miner 扩展【注意，此插件不仅仅可以辅助我们自动进行缓存破坏，还能作为参数爆破，目前我们这里就仅先用在缓存破坏中】。

点击顶部菜单：Param miner > Settings。

在里面找到并勾选 Add dynamic cachebuster（添加动态缓存破坏器）。

开启后，Burp 就会自动为你发出的每一个请求都加上一个随机、唯一的参数（比如 ?cb=0a3f7e9）。

你可以在 Burp 的 Logger（日志）标签页里，看到每个请求具体被添加了什么参数。如下：

每天一点点内容，不求多，只求能消化吸收，对内容有疑问的，欢迎留言~

合集《缓存欺骗漏洞的原理及相关利用手法》系列内容持续更新中，感兴趣的小伙伴们，别忘了收藏、点赞、分享、关注哦~

查看原文：《“缓存欺骗第二章第二节”攻击开始前的必备要素-破坏缓存》