不知你是否曾經閃現過一個想法,當我們訪問https://www.paypal.com/myaccount/home/stylesheet.css,或者https://www.paypal.com/myaccount/settings/notifications/logo.png?www.myhack58.com可能暴露敏感數據,甚至攻擊者能控制我們的賬戶。binggo!你要是有過這個想法就對了,Web cache欺騙就是這種情形下的一種攻擊向量。
漏洞背景介紹
網站通常都會通過如CDN、負載均衡器、或者反向代理來實現Web緩存功能。通過緩存頻繁訪問的文件,降低服務器響應延遲。例如,網站“htttp://www.examplecom ”配置了反向代理。對于那些包含用戶個人信息的頁面,如“http://www.example.com/home.php”,由于每個用戶返回的內容有所不同,因此這類頁面通常是動態生成,并不會在緩存服務器中進行緩存。通常緩存的主要是可公開訪問的靜態文件,如css文件、js文件、txt文件、圖片等等。此外,很多最佳實踐類的文章也建議,對于那些能公開訪問的靜態文件進行緩存,并且忽略HTTP緩存頭。
Web cache攻擊類似于RPO相對路徑重寫攻擊(link1,link2),都依賴于瀏覽器與服務器對URL的解析方式。當訪問不存在的URL時,如“http://www.example.com/home.php/non-existent.css? ”,瀏覽器發送get請求,依賴于使用的技術與配置,服務器返回了頁面“http://www.example.com/home.php ”的內容,同時URL地址任然是“http://www.example.com/home.php/non-existent.css”,http頭的內容也與直接訪問“http://www.example.com/home.php ”相同,cacheing header、content-type(此處為text/html)也相同。
漏洞成因
當代理服務器設置為緩存靜態文件并忽略這類文件的caching header時,訪問“http://www.example.com/home.php/no-existent.css ”時,會發生什么呢?整個響應流程如下:
1.瀏覽器請求http://www.example.com/home.php/no-existent.css ;
2.服務器返回http://www.example.com/home.php 的內容(通常來說不會緩存該頁面);
3.響應經過代理服務器;
4.代理識別該文件有css后綴;
5.在緩存目錄下,代理服務器創建目錄home.php,將返回的內容作為non-existent.css保存。
漏洞利用
攻擊者欺騙用戶訪問“http://www.example.com/home.php/logo.png?www.myhack58.com ”,導致含有用戶個人信息的頁面被緩存,從而能被公開訪問到。更嚴重的情況下,如果返回的內容包含session標識、安全問題的答案,或者Csrf token。這樣攻擊者能接著獲得這些信息,因為通常而言大部分網站靜態資源都是公開可訪問的。整個流程如圖1所示:
圖1 web cache漏洞利用
漏洞存在的條件
漏洞要存在,至少需要滿足下面兩個條件:①web cache功能根據擴展進行保存,并忽略caching header;②當訪問如“http://www.examplecom/home.php/non-existent.css”不存在的頁面,會返回“home.php”的內容。
漏洞防御
防御措施主要包括3點:①設置緩存機制,僅僅緩存http caching header允許的文件,這能從根本上杜絕該問題;②如果緩存組件提供選項,設置為根據content-type進行緩存;③訪問“http://www.example.com/home.php/non-existent.css”這類不存在頁面,不返回“home.php”的內容,而返回404或者302。
Web Cache欺騙攻擊實例Paypal
Paypal在未修復之前,通過該攻擊,可以獲取的信息包括:用戶姓名、賬戶金額、信用卡的最后4位數、交易數據、emaill地址等信息。
受該攻擊的部分頁面包括:“https://www.paypal.com/myaccount/home/attack.css ”、“https://www.paypal.com/myaccount/settings/notifications/attack.css ”、“https://history.paypal.com/cgi-bin/webscr/attack.css?cmd=_history-details ”。
可以緩存頁面的靜態文件后綴如下:aif、aiff、au、avi、bin、bmp、cab、carb、cct、cdf、class、css、doc、dcr、dtd、gcf、gff、gif、grv、hdml、hqx、ico、ini、jpeg、jpg、js、mov、mp3、nc、pct、ppc、pws、swa、swf、txt、vbs、w32、wav、wbmp、wml、wmlc、wmls、wmlsc、xsd、zip。
緩存有效期:經過測試,一旦文件被訪問,它就會被緩存大約5小時。如果這之間該文件又被訪問,則有效期延長。
Paypal訪問頁面與對應視頻:
https://www.paypal.com/myaccount/home
https://www.paypal.com/myaccount/settings
https://history.paypal.com/cgi-bin/webscr?cmd=_history-details
測試網站使用了IIS負載均衡器。登錄后,會重定向到“welcome.php”頁面,該頁面包含 了用戶信息,而負載均衡器設置為緩存所有css文件,并忽略其caching header。當登錄用戶訪問“http://wwwsampleapp.com/welcome.php/stylesheetcss ”,負載均衡器創建目錄welcome.php,并保存為stylsheet.css。
| 
