Web缓存投毒实战

2018 年 12 月 1 日 Python程序员

摘要

Web缓存投毒一直是一个难以捉摸的漏洞，是一种“理论上”存在，可吓唬开发人员去乖乖修补，但任何人无法实际利用的问题。

在本文中，我将向您展示，如何通过使用深奥的网络功能将其缓存转换为漏洞并利用传送系统来破坏网站，受众是任何能在请求访问其主页过程中制造错误的人。

我将通过漏洞来说明和开发这种技术。这些漏洞使我能够控制众多流行的网站和框架，从简单的单一请求攻击发展到劫持JavaScript，跨越缓存层，颠覆社交媒体和误导云服务的复杂漏洞利用链。我将讨论防御缓存投毒的问题，并发布推动该研究开源的Burp Suite社区扩展。

这篇文章也会作为可打印的pdf 文件提供，点击阅读原文获取。

核心概念

缓存101

要掌握缓存投毒，我们需要快速了解缓存的基本原理。Web缓存位于用户和应用程序服务器之间，用于保存和提供某些响应的副本。在下图中，我们可以看到三个用户接连获取相同的资源：

缓存旨在通过减少延迟来加速页面加载，还可以减少应用程序服务器上的负载。一些公司使用类似Varnish的软件来托管他们的缓存，而其他公司选择依赖Cloudflare这样的内容交付网络（CDN），将缓存分散在各个地理位置。此外，一些流行的Web应用程序和框架（如Drupal）具有内置缓存功能。

还有其他类型的缓存，例如客户端浏览器缓存和DNS缓存，但它们不是本文的研究重点。

缓存键

缓存的概念可能听起来简洁明了，但它隐藏了一些风险。每当缓存收到对资源的请求时，它需要确定它是否已经保存了这个确切资源的副本，并且可以使用该副本进行回复，或者是否需要将请求转发给应用程序服务器。

确定两个请求是否正在尝试加载相同的资源可能很棘手; 通过请求逐字节匹配的方法是完全无效的，因为HTTP请求充满了无关紧要的数据，例如浏览器发出的请求：

缓存使用缓存键来标识一个资源，缓存键一般由请求中的一部分内容组成。在上面的请求中，缓存键中包含的值用橙色突出显示，这个缓存键是非常常用的。

这意味着缓存认为以下两个请求是等效的，并使用从第一个请求缓存的响应来响应第二个请求：

因此，该页面将错误的语言格式提供给第二位访问者。这暗示了一个问题 ——任何非缓存键内容的差异，都可能被存储并提供给其他用户。理论上，站点可以使用“Vary”响应头来指定请求头中哪些部分应该作为缓存键。在实际中，Vary协议头很少使用，像Cloudflare这样的CDN甚至完全忽略它，人们甚至没有意识到他们的应用程序支持基于任何协议头的输入。

这会导致许多意想不到的破坏，特别是当有人故意开始利用它时，它的危害才会真正开始体现

缓存投毒

Web缓存投毒的目的是发送导致有危害响应的请求，该响应将保存在缓存中并提供给其他用户。