Hello there, ('ω')ノ
Web キャッシュ中毒 $$$? 価値がある?を。
脆弱性:
Web キャッシュ ポイズニング
XSS
記事:
https://yaseenzubair.medium.com/web-cache-poisoning-worth-it-e7c6d88797b1
今回は、見落としがちであまり注目されていないバグについて読者を。
ガイドしようと思いますが、それだけの価値があることは間違いなく。
プライベートなバグ報奨金プログラムを実施している Web サイトを。
テストしていたところ、その Web サイトは安全で。既知のバグを取得できず。
突然、応答ヘッダに注意が向けられて。
脆弱性の特定:
Burp Suiteをオンにして URL をプロキシして Web サイトをナビゲートして。
Web サイトは非常に安全で、機能は非常に限られており、WAF の背後にもあり。
興味深いサブドメインもなく。
そこで、Burp Suiteに切り替えて、さまざまな種類のページの分析を開始し。
ヘッダに関する限り、ほとんど同じように見えるページをいくつか見つけて。
GET /redacted-page1 HTTP/1.1
Host: www.redacted.com
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: https://www.redacted.com/
Cookie: _TO_AB_Testing=14
応答は次のように返され。
HTTP/1.1 200 OK
<Snip....
...Snip>>
X-Cache: Miss from cloudfront
/redacted-page2 への同様のリクエストでは、ほぼ同じレスポンスが得られ。
HTTP/1.1 200 OK
<snip ...
.... snip>
X-Cache: Hit from cloudfront
キャッシュ ヒットは、ページが CloudFront でキャッシュされたことを意味して。
そのため、他のユーザが /redacted-page2 をリクエストすると。
ユーザが同じキャッシュ サーバにヒットした場合、CloudFront の。
キャッシュ データを介してサービスが提供され。
同じキャッシュにヒットする可能性が最も高く。
また、これは本番用の Web サイトだったので。
Web サイトの可用性を損なうことはできなかったので、テスト中は注意が必要で。
そのため、/redacted-page2?dontpoisoneverycache=1 などのリクエストを送信して。
さまざまなパラメータをキャッシュして。
Hostヘッダを変更して、さまざまなヘッダーの送信を開始し。
大量のユーザをリダイレクトできたかどうかを確認しましたが。
サーバエラーが返されたので、追加してみると。
X-Forwarded-Host: evil.com
X-Host: evil.com
驚いたことに、次のように Web ページにリンクとして追加され。
<a href=”http://evil.com/redacted-page2" >
クリックすると、evil.com にリダイレクトされ。
すぐにネットワークを変更し、別のブラウザを介してその URL に移動すると。
キャッシュされたページが機能し、Evil.com にリダイレクトされて。
XSS設定ヘッダーにエスカレートしてみましたが。
これはフィルタリングされて。
javascript:alert(1)”> and evil.com”onmouseover=alert(1)>
Best regards, (^^ゞ