众所周知,如今的网站会包含大量的JavaScript文件/代码,而这些代码一般都取自于TypeScript、SCSS和Webpack等复杂的实现栈。为了减少标准网页的加载时间,开发人员会利用缓存来减少服务器上的负载并减少用户的延迟。虽然缓存通常是为了帮助提高服务的可靠性,使其更易于用户访问,但一些自定义缓存配置可能会引入拒绝服务漏洞,导致服务易受攻击。
当攻击者利用目标设备中的缓存来向每一个请求资源的其他用户发送更改响应时,便有可能触发缓存投毒漏洞,下面给出的是缓存投毒拒绝服务攻击的演示样例:
大家可以看到,实现DoS攻击所需的只是一个未缓存的Header,它将强制源服务器发送格式错误的请求。因此,我决定通过应用以下 *** ,在一些私人应用程序中寻找潜在的DoS漏洞:
通过识别特定的缓存Header(X-Cache和cf-cache-status等)来检测使用了缓存服务的所有子域名;
使用Param Miner来爆破潜在的未缓存的Header;
没花多少时间,我就在assests.redacted.com中找到了一个缓存投毒DoS漏洞,而这个子域名负责托管其中一个私人应用程序所使用的全部 *** 和CSS文件。这个漏洞是由Fastify的Accept-Version Header所导致的,它将允许客户端返回资源的版本描述信息,我可以使用下列 *** 来利用该功能:
GET /assets/login.js?cb=1 ?GET /assets/login.js?cb=1 Host: assets.redacted.com ?Host: assets.redacted.com Accept-Version: iustin ? HTTP/1.1 404 Not Found HTTP/1.1 404 Not Found X-Cache: Miss ?X-Cache: Hit
由于缓存密钥中没有包含Accept-version Header,因此任意请求 *** 文件资源的用户都将收到缓存404响应。令我惊讶的是,这个漏洞竟然让我拿到了2000美金的漏洞奖励,因为Fastify并没有提供金禁用Accept-version Header的选项,该漏洞目前已被标记为了CVE-2020-7764。
然而,在测试了更多的主机之后,越来越明显的是,我将无法用这种技术找到更多的易受攻击的目标。因此,我决定对其他可能的缓存投毒DoS小工具做一些额外的研究。
研究过程中,我发现大多数技术都讨论了非缓存键输入如何导致DoS,但它们忽略了缓存键输入,比如说主机Header或路径等等。因此,我能够想出两个新的攻击方式,并成功复现一次之前的漏洞。
根据RFC-4343的定义,FQDN(全限定域名)必须是大小写敏感的,但是在某些情况下,框架并不会严格遵循这一点。有趣的是,由于主机值应该不区分大小写,一些开发人员会假设在将主机头值引入cachekey时写入小写字符会是安全的,而不会更改发送到后端服务器的实际请求。
在将这两种行为配对时,我能够使用自定义配置的Varnish作为缓存解决方案在主机上实现以下DoS攻击:
GET /images/posion.png?cb=1 ?GET /images/posion.png?cb=1 ? Host: Cdn.redacted.com Host: cdn.redacted.com ? HTTP/1.1 404 Not Found HTTP/1.1 404 Not Found X-Cache: Miss ?X-Cache: Hit
注意上面大写的主机Header值,它将导致404错误,然后Varnish将使用cache键中主机Header的规范化值来缓存该数据。在将该漏洞上报之后,我又拿到了800美金的漏洞奖励。
分析过程中,我还发现它的负载均衡器(HAProxy)在接收到了大写的Header值时,便会响应404错误。
除了主机Header之外,参数和路径在注入到cachekey之前也可以是小写的,因此我们应该检查缓存处理这些数据时所采用的机制。
在使用缓存识别子域时,我发现了一个托管图像的特定子域。请求一张图片的请求类似如下:
GET /maps/1.0.5/map/4/151/16.png Host: maps.redacted.com
跟之前一样,Param Miner无法找到任何隐藏Header,因此我决定深入分析一下。就我目前所知,路径中的最后三个数字是用来告诉服务器应该返回映射的哪一部分范围。我研究了半天,但啥也没获取到。
起初,我认为1.0.5只是一个版本号,所以我没有太过关注,但令我惊讶的是,当我尝试1.0.4时,竟然出现了缓存命中的情况。当然,我认为其他一些API可能使用的是旧版本,所以我测试了1.0.0,它也返回了缓存命中的响应。没过多久我就意识到,无论我用什么替换1.0.5,它都会返回200 OK和一个X-Cache命中响应Header。于是乎,我想出了以下 *** :
GET /maps/%2e%2e/map/4/77/16.png ?GET /maps/1.0.5/map/4/77/16.png Host: maps.redacted.com Host: maps.redacted.com ? HTTP/1.1 404 Not Found ?HTTP/1.1 404 Not Found X-Cache: Miss X-Cache: Hit
同样,在试图提高缓存命中率时,开发人员没有考虑到潜在的DoS攻击,这使得我可以注入%2e%2e(URL编码..),并将请求重定向到服务器上不存在的/map/4/77/16.png,从而导致404错误。
如何快速恢复微信聊天记录? 如何免费恢复微信聊天记录 你好, 很高兴为您解答: 1、还原可以,要借助恢复工具。 2、下载iFunbox,把手机和电脑连接,然后等设备连接好之...
原标题:安卓微信语音聊天记录误删了怎么恢复?这里分分钟让你学会 安卓手机使用久了, 以前的数据就会累积,从而使手机的内存越来越小,很多人就会将以前的缓存的数据给删除了。只有这样才可以将手机里...
亲情是世界上最宝贵的东西,家人也永远是自己身后最大的盾牌,近日一则11岁男孩徒步2700公里跨国见奶奶的消息引起了很多网友的关注,据了解,该男孩和父亲住在西西里岛的巴勒莫,但是由于疫情的原因,所以没有...
单页搜索给我们带来的好处是不小的,因为单页搜索引擎优化只要我们做好了,不仅可以给我们带来用户,其流量也不错。所以,如果你想让单一页面有更多的好处,你只需要做好单一页面的营销。这就是为什么单一页面被用于...
如何变个网络黑客 用手机装网络黑客装x(手机上黑客软件) 网络黑客如何提升 反应力 qq破解器ios苹果版手机上(qq相册破解器绿色版) 幽浮2怎么修改网络黑客 网络彩票行骗...
研究人员标明,稀有百个受害者,可是其详细数量和地理位置还不能发布,由于这部分数据还在收会集。 Check Point预备近来发布一份后续陈述,其中将发表更多信息。 愈加强壮的Network Spoof...