有缺陷的缓存键解锁您网站的巨型后门beplay体育能用吗
针对当代网络缓存的攻击造成的潜在毁灭性后果再次被引起到明显的重点beplay体育能用吗黑帽子美国本周,当安全研究员詹姆斯·凯特尔(James Kettle)记录了他在该领域正在进行的研究。
网络仅由直接连接到主机Web服务器的端点组成的日子已经一去不复返beplay体育能用吗了。如今,这些内容由快速扩展,日益复杂,全球网络缓存。
beplay体育能用吗Web缓存 - 将Web内容和其他数据沿交付路径的各个点存储的过程 - 被广泛用作提高站点性能和可扩展性的一种手段。
但是这个系统并非没有缺陷。尽管缓存可以帮助提高现场响应能力并降低网络成本,但这些额外的层也有助于增加攻击浮出水面,使网络应用程序敞开大范围beplay体育能用吗。
你的毒药是什么?
Portswigger网络安全研究主管James Kettle对黑暗beplay官网可以赌艺术并不陌生beplay体育能用吗beplay体育能用吗网络缓存中毒。他首先展示了他的漏洞在Black Hat 2019中使用这种黑客技术。
Kbeplay体育能用吗ettle说:“ Web缓存中毒是一个普遍的术语,当您欺骗缓存来保存有害页面并将其提供给用户时。”(披露:Portswiggbeplay官网可以赌er是每日swbeplay2018官网ig的母公司。)
研究人员解释说,在经典的网beplay体育能用吗络缓存中毒攻击中,有效载荷被插入一个晦涩的HTTP标头。
两年过去了,Kettle又回来了更多的研究,这些研究继续使Web缓存时间短暂 - 这次是通过利用误导的转换,请求行归一化以及存储不安全的高速缓存密钥组件。beplay体育能用吗
他警告说:“其中任何一个都可能给您的申请带来麻烦。”
beplay体育能用吗网络缓存中毒涉及欺骗缓存以保存有害页面并将其提供给用户
缓存控制
在今天(8月5日)的虚拟黑色帽子美国会议上,水壶共享了先进的技术,以证明如何将某些“严重的深奥的缓存行为”结合在一起以创建硬击漏洞的链条。
如随附的白皮书,他的网络缓beplay体育能用吗存纠缠漏洞包括在线报纸上持续毒化每一页,损害了美国国防部内部情报网站上的管理界面,并在全球范围内禁用Firefox的更新。
继续前进,Kettle将注意力转移到了缓存提供商的网站上,表明如何实现持续的拒绝服务(DOSbeplay体育能用吗)Cloudflare登录页面,只有一个有毒的重定向请求。
它并没有结束:Zendesk,Akamai和Ruby on Rails框架都受到不同的Web Cache中毒漏洞的影响,现在大多数在对漏洞的协调披露后进行了修补。beplay体育能用吗
“我最喜欢的利用是Firefox更新DOS,” Kettle告诉每日swbeplay2018官网ig在他的演讲中。“我之所以发现它,是因为当时我碰巧使用了Firefox,而攻击只需要单个字符对合法请求进行更改。”
捍卫您的网络基础架构beplay体育能用吗
水壶的最新消息研究可能会留下许多质疑当今网络缓存基础架构的可行性。beplay体育能用吗但是,幸运的是,可以采取多个步骤来帮助保护您的网络应用程序免受滥用的影响。beplay体育能用吗
“您可以采取一些广泛的方法来避免最严重的问题,” Kettle在他的技术论文中概述。
“首先,避免重写缓存键。取而代之的是,重写实际的请求 - 这可以达到相同的性能,同时大大减少了缓存中毒问题的可能性。
“第二,确保您的应用程序不支持脂肪获取请求。最后,作为一项深入的防御措施,补丁漏洞由于浏览器的约束,例如自XSS,编码-XSS或资源文件中的输入反射,因此被认为是无法探索的。”
为了帮助检测这些问题,Kettle已发布了对参数矿工Burp Suite扩展。
不过,也许毫不奇怪,这些缓解引起了人们的注意。
凯特尔说:“在这项研究中发现的缓存问题的纯粹多样性表明,未来尚未发现的尚未发现的缺陷。”“因此,我希望将来会看到整个新的缓存中毒问题。”