[Day13] Web Cache Poison

前言

你听过Web Cache，那Web Cache Poison呢?

正文

概念

Cache就是将内容留存一份在Cache Server/Service中，让有同样需求的用户可以直接取用，达到降低Web Server loading和延迟的效果

然而，若是没有妥善的处理Cache的操作和行为的话，可能就能让攻击者能够透过一些手段，对Cache投毒(Poison)，使其他使用到Cache的普通用户受到威胁。

这种技术通常不是直接性的攻击，而常与其他Attack Vector结合，甚至可以将依些低影响的漏洞变得更加危险，例如攻击者在网页上找到一个R-XSS，若透过Cache Poison的方式，就可以将R-XSS简单的扩大影响范围，导致用户的cookie被窃取。

或是透过Open redirect将普通用户route到攻击者架设的web service中，并携带原网站的各种资讯(cookie)传送到攻击者的恶意web service中，达到大规模帐户接管。

图源

能做到Web Cache Poison的方法有很多，例如[Day4]的HTTP Request Smuggling和[Day8]的HTTP Response Splitting和下面Case Study中的unkey header都可以做到。

Case Study

在2018年portswigger的研究中，利用了unkeyed inputs来做到Poison Cache，像是X-Forwarded-Host和X-Original-URL。

red hat的homepage就被发现了这个问题，在X-Forwarded-Host中插入XSS的恶意内容，并确定其被加入Cache中。这就导致了在Cache还存在的时间段内，普通用户只要浏览到该网页，就会收到XSS的攻击，而且无法做出好的防范。更多内容可以参考PortSwigger