发现者:Ron Reshef (ronr)
漏洞种类:Web缓存欺骗攻击
危害等级:中危
漏洞状态:已修复
网站通常倾向于使用Web缓存功能来存储经常检索的文件,以减少来自Web服务器的延迟。
网站通常倾向于使用Web缓存功能(例如,通过CDN,负载平衡器或简单地通过反向代理)。目的很简单:存储经常检索的文件,以减少Web服务器的延迟。
访问诸如
http://www.example.com/home.php/non-existent.css
之类的URL时,浏览器将生成对该URL的GET请求。
服务器返回
http://www.example.com/home.php
的内容。
但是,URL仍然为
http://www.example.com/home.php/non-existent.css
HTTP标头与直接访问
http://www.example.com/home.php
的相同:缓存标头和内容类型(在这种情况下为text/html)均相同。网络缓存服务将返回的页面保存在服务器的缓存中。
然后,攻击者可以访问URL:
http://www.example.com/home.php/non-existent.css
,此时受害者访问的页面将会显示给攻击者,同时攻击者会获取受害者的敏感信息(页面内容)。
与网络钓鱼攻击不同,此攻击中的危险部分是该URL看起来一点都不可疑。它看起来像原始网站上的普通网址,因此受害者认为可以单击该链接。
1、攻击者将以下链接发送给受害者:
https : //open.vanillaforums.com/messages/all/non-existent.css
2、受害者打开链接,收件箱页面将正常加载。(然后,Web缓存服务器将保存此页面)
3、攻击者打开相同的链接
(
https://open.vanillaforums.com/messages/all/non-existent.css
),然后加载受害者及其所有私人竞争者的收件箱页面。
攻击者可以获取特定受害者的所有私人内容,而无需受害者知道。
该漏洞提交者,没有系统的讲解该漏洞的原理,此处,译者参考网上一些资料,对该漏洞的原理、触发条件做一个讲解(主要参考freebuf中的)。
原理:
假设客户端访问
http://www.example.com/home.php/non-existent.css
但non-existent.css是不存在,那WEB服务器此时会发生一下情况:
(1)返回404 not found;
(2)相应状态码200 OK,然后把home.php返回。这时缓存服务器拿到的请求是
http://www.example.com/home.php/non-existent.css
,是一个静态页面,而WEB服务器返回给缓存服务器的结果是
http://www.example.com/home.php
,不是一个静态页面,但是缓存服务器并不知道。
触发条件:
1、WEB服务器会将类似
http://www.example.com/home.php/nonexistent.css
这种静态页面解析为home.php。
2、缓存服务器会无视http header,只根据文件后缀来判断是否缓存该文件。
3、受害者访问该页面时必须已登录。
满足这三个条件,攻击者就可以引诱已登录的受害者访问
http://www.example.com/home.php/non-existent.css
,之后缓存服务器接收到请求,但没有这个页面,向服务器请求,服务器返回http://www.example.com/home.php,状态码为200,缓存服务器收到后,会认为URL不变,且.css是个静态文件,进行缓存。攻击者再此访问
http://www.example.com/home.php/non-existent.css
,缓存服务器就会将带有已登录受害者信息的
http://www.example.com/home.php
页面返回给攻击者。
Omer Gil通过控制 Web 缓存可以保存其它用户的敏感数据,并成功在 Paypal 中实现了攻击(
http://omergil.blogspot.com/2017/02/web-cache-deception-attack.html
)
相关视频:
https://v.qq.com/x/page/q0380jhvn18.html
