Cache Poisoning and Cache Deception
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Web cache poisoning ile web cache deception arasındaki fark nedir?
Web cache poisoning'de, saldırgan uygulamanın önbelleğe bazı kötü niyetli içerikler depolamasını sağlar ve bu içerik önbellekten diğer uygulama kullanıcılarına sunulur.
Web cache deception'da, saldırgan uygulamanın başka bir kullanıcıya ait bazı hassas içerikleri önbelleğe depolamasını sağlar ve ardından bu içeriği önbellekten alır.
Cache poisoning, istemci tarafı önbelleğini manipüle ederek istemcilerin beklenmedik, kısmi veya bir saldırganın kontrolü altındaki kaynakları yüklemeye zorlamayı amaçlar. Etkisi, etkilenen sayfanın popülaritesine bağlıdır, çünkü kirlenmiş yanıt yalnızca önbellek kirlenme süresi boyunca sayfayı ziyaret eden kullanıcılara sunulur.
Cache poisoning saldırısının gerçekleştirilmesi birkaç adım içerir:
Anahtarsız Girdilerin Belirlenmesi: Bunlar, bir isteğin önbelleğe alınması için gerekli olmasa da, sunucunun döndürdüğü yanıtı değiştirebilen parametrelerdir. Bu girdilerin belirlenmesi, önbelleği manipüle etmek için sömürülebileceğinden kritik öneme sahiptir.
Anahtarsız Girdilerin Sömürülmesi: Anahtarsız girdiler belirlendikten sonra, bir sonraki adım bu parametreleri saldırgana fayda sağlayacak şekilde sunucunun yanıtını değiştirmek için nasıl kötüye kullanacağınızı bulmaktır.
Kirlenmiş Yanıtın Önbelleğe Alındığının Garantilenmesi: Son adım, manipüle edilmiş yanıtın önbelleğe kaydedildiğinden emin olmaktır. Bu şekilde, önbellek kirlenmişken etkilenen sayfaya erişen herhangi bir kullanıcı kirlenmiş yanıtı alacaktır.
Genellikle, bir yanıt önbelleğe alındığında bununla ilgili bir başlık olacaktır, hangi başlıklara dikkat etmeniz gerektiğini bu yazıda kontrol edebilirsiniz: HTTP Cache başlıkları.
Yanıtın bir önbelleğe kaydedildiğini düşünüyorsanız, kötü bir başlıkla istek göndermeyi deneyebilirsiniz, bu da 400 durum kodu ile yanıtlanmalıdır. Ardından isteği normal bir şekilde erişmeyi deneyin ve eğer yanıt 400 durum koduysa, bunun zayıf olduğunu bilirsiniz (ve hatta bir DoS gerçekleştirebilirsiniz).
Daha fazla seçenek bulabilirsiniz:
Cache Poisoning to DoSAncak, bazen bu tür durum kodlarının önbelleğe alınmadığını unutmayın, bu nedenle bu test güvenilir olmayabilir.
Param Miner kullanarak sayfanın yanıtını değiştirebilecek parametreleri ve başlıkları kaba kuvvetle denemeyi deneyebilirsiniz. Örneğin, bir sayfa X-Forwarded-For
başlığını kullanarak istemcinin buradan script yüklemesini belirtiyor olabilir:
Parametre/başlık belirlendikten sonra, nasıl temizlendiğini ve nerede yansıtıldığını veya başlıktan gelen yanıtı nasıl etkilediğini kontrol edin. Bunu herhangi bir şekilde kötüye kullanabilir misiniz (XSS gerçekleştirmek veya sizin kontrolünüzde bir JS kodu yüklemek? DoS gerçekleştirmek?...)
Kötüye kullanılabilecek sayfayı belirledikten sonra, hangi parametre/başlık kullanılacağını ve nasıl kötüye kullanılacağını belirlemeniz gerekir, sayfayı önbelleğe almanız gerekir. Önbelleğe almak istediğiniz kaynağa bağlı olarak bu biraz zaman alabilir, birkaç saniye boyunca denemek zorunda kalabilirsiniz.
Yanıt içindeki X-Cache
başlığı, isteğin önbelleğe alınmadığında miss
değerine ve önbelleğe alındığında hit
değerine sahip olabileceğinden çok faydalı olabilir.
Cache-Control
başlığı da bir kaynağın önbelleğe alınıp alınmadığını ve kaynağın bir sonraki ne zaman önbelleğe alınacağını bilmek için ilginçtir: Cache-Control: public, max-age=1800
Bir diğer ilginç başlık Vary
. Bu başlık, genellikle önbellek anahtarı olarak işlem gören ek başlıkları belirtmek için kullanılır, normalde anahtarsız olsalar bile. Bu nedenle, hedeflediği kurbanın User-Agent
'ını bilen bir kullanıcı, o belirli User-Agent
'ı kullanan kullanıcılar için önbelleği zehirleyebilir.
Önbellek ile ilgili bir başlık daha Age
. Bu, nesnenin proxy önbelleğinde kaç saniye kaldığını tanımlar.
Bir isteği önbelleğe alırken, kullandığınız başlıklarla dikkatli olun çünkü bazıları beklenmedik şekilde anahtarlı olarak kullanılabilir ve kurbanın o aynı başlığı kullanması gerekecektir. Her zaman farklı tarayıcılarla bir Cache Poisoning'i test edin ve çalışıp çalışmadığını kontrol edin.
X-Forwarded-For
gibi bir başlık, yanıt içinde temizlenmeden yansıtılıyor.
Temel bir XSS yükü gönderebilir ve önbelleği zehirleyerek sayfaya erişen herkesin XSS olmasını sağlayabilirsiniz:
Note that this will poison a request to /en?region=uk
not to /en
Çerezler, bir sayfanın yanıtında da yansıtılabilir. Eğer bunu bir XSS oluşturmak için kötüye kullanabilirseniz, kötü niyetli önbellek yanıtını yükleyen birkaç istemcide XSS'i istismar edebilirsiniz.
Not edin ki, eğer zayıf cookie kullanıcılar tarafından çok kullanılıyorsa, düzenli istekler önbelleği temizleyecektir.
Kontrol et:
Cache Poisoning via URL discrepanciesBu yazı https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123
gibi bir URL ile OpenAI API anahtarının nasıl çalındığını açıklıyor çünkü /share/*
ile eşleşen her şey, Cloudflare URL'yi normalleştirmeden önbelleğe alınacak, bu da isteğin web sunucusuna ulaştığında yapılmıştır.
Bu, daha iyi bir şekilde de açıklanmıştır:
Cache Poisoning via URL discrepanciesBazen bir önbelleği istismar edebilmek için birden fazla anahtarsız girdi istismar etmeniz gerekecektir. Örneğin, X-Forwarded-Host
başlığını sizin kontrolünüzdeki bir alan adına ve X-Forwarded-Scheme
başlığını http
olarak ayarlarsanız bir Açık yönlendirme bulabilirsiniz. Eğer sunucu tüm HTTP isteklerini HTTPS'ye yönlendiriyorsa ve X-Forwarded-Scheme
başlığını yönlendirme için alan adı olarak kullanıyorsa, yönlendirme ile sayfanın nereye işaret ettiğini kontrol edebilirsiniz.
Vary
başlığı ile istismarEğer X-Host
başlığının JS kaynağını yüklemek için alan adı olarak kullanıldığını ancak yanıtın Vary
başlığının User-Agent
belirttiğini bulduysanız, o zaman kurbanın User-Agent'ını dışarı sızdırmanın ve bu kullanıcı ajanını kullanarak önbelleği zehirlemenin bir yolunu bulmalısınız:
URL'deki ve gövdedeki isteği içeren bir GET isteği gönderin. Eğer web sunucusu gövdedekini kullanıyorsa ama önbellek sunucusu URL'dekini önbelleğe alıyorsa, o URL'ye erişen herkes aslında gövdedeki parametreyi kullanacaktır. James Kettle'ın Github web sitesinde bulduğu zafiyet gibi:
There it a portswigger lab about this: https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-fat-get
Örneğin, ruby sunucularında parametreleri &
yerine ;
karakteri kullanarak ayırmak mümkündür. Bu, anahtarsız parametre değerlerini anahtarlı olanların içine yerleştirmek ve bunları kötüye kullanmak için kullanılabilir.
Portswigger lab: https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-param-cloaking
HTTP İstemci Kaçırma ile Cache Zehirleme saldırıları nasıl gerçekleştirilir hakkında burada bilgi edinin.
Web Cache Vulnerability Scanner, web cache zehirlemesi için otomatik test yapmak üzere kullanılabilir. Birçok farklı tekniği destekler ve yüksek derecede özelleştirilebilir.
Örnek kullanım: wcvs -u example.com
ATS, URL içindeki parçayı kesmeden iletti ve yalnızca ana bilgisayar, yol ve sorgu kullanarak önbellek anahtarını oluşturdu (parçayı göz ardı ederek). Bu nedenle, /#/../?r=javascript:alert(1)
isteği arka uca /#/../?r=javascript:alert(1)
olarak gönderildi ve önbellek anahtarında yük bulunmadı, yalnızca ana bilgisayar, yol ve sorgu vardı.
İçerik türü başlığında kötü bir değer göndermek, 405 önbelleklenmiş yanıtı tetikledi. Önbellek anahtarı çerezi içeriyordu, bu nedenle yalnızca yetkisiz kullanıcıları hedef almak mümkündü.
GitLab, statik içeriği depolamak için GCP bucket'larını kullanır. GCP Buckets, x-http-method-override
başlığını destekler. Bu nedenle, x-http-method-override: HEAD
başlığını göndermek ve önbelleği boş bir yanıt gövdesi döndürmesi için zehirlemek mümkündü. Ayrıca PURGE
yöntemini de destekleyebilir.
Ruby on Rails uygulamalarında, Rack middleware sıklıkla kullanılmaktadır. Rack kodunun amacı, x-forwarded-scheme
başlığının değerini almak ve bunu isteğin şeması olarak ayarlamaktır. x-forwarded-scheme: http
başlığı gönderildiğinde, aynı konuma 301 yönlendirmesi gerçekleşir ve bu durum, o kaynağa bir Hizmet Reddi (DoS) oluşturabilir. Ayrıca, uygulama X-forwarded-host
başlığını tanıyabilir ve kullanıcıları belirtilen ana bilgisayara yönlendirebilir. Bu davranış, bir saldırganın sunucusundan JavaScript dosyalarının yüklenmesine yol açarak güvenlik riski oluşturabilir.
Cloudflare daha önce 403 yanıtlarını önbelleğe alıyordu. Yanlış Yetkilendirme başlıkları ile S3 veya Azure Storage Blobs'a erişmeye çalışmak, önbelleğe alınan bir 403 yanıtı ile sonuçlanıyordu. Cloudflare 403 yanıtlarını önbelleğe almayı durdurmuş olsa da, bu davranış diğer proxy hizmetlerinde hala mevcut olabilir.
Önbellekler genellikle önbellek anahtarında belirli GET parametrelerini içerir. Örneğin, Fastly'nin Varnish'i isteklerde size
parametresini önbelleğe alıyordu. Ancak, parametrenin URL kodlamalı bir versiyonu (örneğin, siz%65
) hatalı bir değerle gönderildiğinde, önbellek anahtarı doğru size
parametresi kullanılarak oluşturuluyordu. Yine de, arka uç URL kodlamalı parametredeki değeri işliyordu. İkinci size
parametresinin URL kodlaması, önbellek tarafından atlanmasına ancak arka uç tarafından kullanılmasına yol açtı. Bu parametreye 0 değeri atamak, önbelleğe alınabilir bir 400 Bad Request hatasına neden oldu.
Bazı geliştiriciler, sunucu yükünü yönetmek için FFUF veya Nuclei gibi yüksek trafikli araçların kullanıcı ajanlarıyla eşleşen istekleri engeller. Ironik bir şekilde, bu yaklaşım önbellek zehirlenmesi ve DoS gibi güvenlik açıkları oluşturabilir.
RFC7230, başlık adlarında kabul edilebilir karakterleri belirtir. Belirtilen tchar aralığının dışındaki karakterleri içeren başlıkların, ideal olarak 400 Bad Request yanıtı tetiklemesi gerekir. Pratikte, sunucular her zaman bu standarda uymamaktadır. Önemli bir örnek, geçersiz karakterler içeren başlıkları ileten ve cache-control
başlığı mevcut olmadıkça herhangi bir 400 hatasını önbelleğe alan Akamai'dır. Geçersiz bir karakter içeren bir başlık gönderildiğinde, örneğin \
, önbelleğe alınabilir bir 400 Bad Request hatası ile sonuçlanan bir sömürülebilir desen tespit edilmiştir.
https://gist.github.com/iustin24/92a5ba76ee436c85716f003dda8eecc6
Önbellek Aldatmacası'nın amacı, istemcilerin önbellek tarafından kaydedilecek kaynakları hassas bilgileriyle yüklemelerini sağlamaktır.
Öncelikle, .css, .js, .png gibi uzantıların genellikle önbelleğe kaydedilmek üzere yapılandırıldığını unutmayın. Bu nedenle, www.example.com/profile.php/nonexistent.js
adresine erişirseniz, önbellek muhtemelen yanıtı kaydedecektir çünkü .js
uzantısını görmektedir. Ancak, eğer uygulama, www.example.com/profile.php içinde saklanan hassas kullanıcı içerikleriyle tekrar oynuyorsa, diğer kullanıcılardan bu içerikleri çalmış olursunuz.
Test edilecek diğer şeyler:
www.example.com/profile.php/.js
www.example.com/profile.php/.css
www.example.com/profile.php/test.js
www.example.com/profile.php/../test.js
www.example.com/profile.php/%2e%2e/test.js
Daha az bilinen uzantılar kullanın, örneğin .avif
Bu yazıda çok net bir örnek bulunabilir: https://hackerone.com/reports/593712. Örnekte, http://www.example.com/home.php/non-existent.css gibi var olmayan bir sayfayı yüklediğinizde, http://www.example.com/home.php (kullanıcının hassas bilgileriyle) içeriğin döneceği ve önbellek sunucusunun sonucu kaydedeceği açıklanmaktadır. Daha sonra, saldırgan, kendi tarayıcısında http://www.example.com/home.php/non-existent.css adresine erişebilir ve daha önce erişen kullanıcıların gizli bilgilerini gözlemleyebilir.
Önbellek proxy'sinin, dosyaların uzantısına (css) göre önbelleğe alınacak şekilde yapılandırılması gerektiğini unutmayın ve içerik türüne göre değil. Örneğin, http://www.example.com/home.php/non-existent.css adresinin text/html
içerik türü yerine text/css
mime türüne sahip olması beklenmektedir (bu, bir .css dosyası için beklenendir).
HTTP İstemci Kaçırma ile Cache Aldatmacası saldırıları nasıl gerçekleştirilir hakkında burada bilgi edinin.
toxicache: Bir URL listesinde web cache zehirlenmesi açıklarını bulmak ve birden fazla enjekte etme tekniğini test etmek için Golang tarayıcı.
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)