beplay体育能用吗网络缓存中毒不再是理论上的脆弱性

beplay官网可以赌港口研究员詹姆斯·凯特尔(James Kettle)登上舞台黑帽子美国今天,为了展示他在难以捉摸的缓存中毒领域的工作如何使他能够控制众多著名的网站和框架,以及为Firefox支撑的基础设施。beplay体育能用吗

beplay体育能用吗Web缓存 - 将Web内容和其他数据沿交付路径的各个点存储的过程 - 被广泛用作提高网站性能和可扩展性的一种手段。

尽管缓存可以帮助提高站点响应能力并降低网络成本,但这些额外的存储级别导致了水壶所说的“内容交付网络的粗糙拼布”,每层额外的缓存层都打开门,以提供更多潜在的安全漏洞。

在演讲中,Kettle分享了他用来找到,探索和利用的工具和技术beplay体育能用吗网络缓存中毒,从简单的单重点攻击到劫持JavaScript,跨缓存层,颠覆社交媒体和误导云服务的复杂利用链。

评估攻击表面

根据研究人员的说法,确定缓存中毒目标的第一步是找到某种未包含在缓存键中的输入,例如自定义HTTP标头和cookie。水壶开发了免费的开源参数矿工为此目的的工具。

他说:“一旦我们发现我们可以对我们的意见做一些有用的事情,下一步就是将其保存在缓存中。”“实际上,缓存键中未包含的所有内容都是缓存中毒攻击表面的一部分。”

缓存控制

水壶介绍了许多案例研究,证明了网络缓存中毒的现实含义,首先展示了他如何能够控制beplay体育能用吗redhat.com通过添加一个跨站脚本((XSS)有效载荷到他们的主页。

研究人员继续展示了如何使用用户代理标头来定位特定的用户群 - 理想的选择性攻击或潜入有效载荷过去的开发团队,这些开发团队已知使用特定的浏览器。

盾牌下降

在找到控制浏览器访问的方法之后data.gov,Kettle的研究经历了一个更加有趣的转变,因为门口进入了Mozilla Firefox的基础设施。

脆弱性存在于为核心Firefox功能Mozilla Shield提供动力的基础设施中有争议的MR机器人扩展去年)。

Kettle解释说:“定期,Firefox获取了一个URL列表,其中一个点指的是“食谱”列表,上面写着“您应该安装此扩展名”。

“我能够使用缓存中毒接管此列表,使世界各地的每个Firefox安装都连接到我的服务器。”

Mozilla足够聪明,可以签署这些食谱,这意味着攻击者不能简单地安装恶意扩展,但是Kettle发现可以重播旧食谱。

“我可以审核该系统已安装的所有扩展,找到一个已知漏洞的扩展,然后我可以在地球上的每个Firefox安装上造成这种脆弱性。”

路线中毒

Kettle发现,某些应用程序超出了使用标头来生成URL并将其用于内部路由的应用。他说,这使该站点开放,以进一步缓存中毒漏洞。

举例来说,研究人员指出,就业背景检查网站beplay体育能用吗goodhire.com托管在HubSpot上。

“为了利用这一点,我们需要访问hubspot.com,注册自己为HubSpot客户端,将有效载荷放在我们自己的HubSpot页面上,然后最终欺骗HubSpot,以在Goodhire.com上提供此响应。”

他说,Cloudflare愉快地缓存了这一回应,并将其提供给随后的游客。

劫持资源

Turning his attention to Cloudflare itself – and specifically the organization’s blog, which is hosted by Ghost – Kettle found that by registering his own ghost.org account and setting up a custom domain, he could redirect requests sent to blog.cloudflare.com to his own site.

他说:“这意味着我可以劫持诸如图像之类的资源负载。”

除了证明如何利用缓存中毒来覆盖在社交媒体上共享的URL之外,Kettle还展示了如何使用一系列缓存中毒攻击Drupal用恶意文件替换下载的网站。

缓存手中

Kettle的最新研究足以让任何人质疑他们是否应该再次打开互联网浏览器。那么现场所有者如何防御缓存中毒?

他说:“针对缓存中毒的最强大防御是禁用缓存。”“这个建议听起来很愚蠢,但我认为,例如,有人可能开始使用Cloudflare,因为他们在DDOS攻击。如果是这样,请关闭缓存。默认情况下不应该打开。

“我建议使用PARAM MANER审核您的应用程序的每个页面,以冲销未关注的输入。”

他补充说:“最后,无论您的应用程序是否有缓存,您的某些客户可能会在其结尾处有缓存,并且由于HTTP标头中的XSS之类的客户端漏洞永远都不应被忽略。”


可以在Portswigger上找到完整的技术文章和随附的白皮书beplay官网可以赌博客