Web緩存欺騙攻擊仍會影響 大量用戶 的網(wǎng)站
首次記錄后將近兩年,,Web緩存欺騙攻擊仍然是一個主要問題,,并且仍然影響許多受歡迎的網(wǎng)站。
本月發(fā)表的新學(xué)術(shù)研究表明,,Alexa 5,000強網(wǎng)站中有25個仍受到Web緩存欺騙(WCD)攻擊的影響,。
盡管數(shù)量很少,但學(xué)者說這些網(wǎng)站擁有大量用戶,,攻擊者無需身份驗證即可從用戶帳戶中檢索個人用戶信息,。
什么是WEB緩存欺騙攻擊
Web緩存欺騙攻擊于2017年2月首次公開。它們是由安全研究人員和漏洞獵人Omer Gil發(fā)現(xiàn)的,。
Gil發(fā)現(xiàn),,當(dāng)今許多流行的網(wǎng)站都會緩存包含用戶個人信息的頁面。這些緩存的頁面將存儲在網(wǎng)站的前端內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)中,,互聯(lián)網(wǎng)上的任何人都可以輕松訪問它,,從而有效地繞過了登錄要求。
緩存的敏感內(nèi)容包括后端儀表板,,設(shè)置部分,,帶有財務(wù)詳細信息的頁面等。這些頁面通常不受網(wǎng)站緩存程序的限制,。
吉爾說,,訣竅在于讓攻擊者誘使用戶訪問具有以下結(jié)構(gòu)的誘騙URL:[LEGITIMATE_DASHBOARD_URL] / [NON-EXISTENT_FILE]
一個例子是:
https://www.paypal.com/myaccount/home/ blablablabla.css
如果用戶單擊并訪問了這些陷阱陷阱鏈接之一,則網(wǎng)站的CDN將緩存用戶的個人信息中心以及在其中找到的所有數(shù)據(jù),,并將其存儲在網(wǎng)站的公共CDN服務(wù)器上,。
攻擊者只需訪問原始的誘捕URL,然后檢索該特定用戶的儀表板內(nèi)容,。
吉爾(Gil)說,,攻擊不僅限于與Web相關(guān)的文件,如JS和CSS,,而且攻擊者可以創(chuàng)建誘餌誘騙的URL,,它們具有40多個不同的文件擴展名。
使用任何文件擴展名創(chuàng)建不存在的URL,,都會欺騙網(wǎng)站的CDN緩存具有敏感信息的頁面,,即使它們指向的鏈接不存在,或者該頁面已被特別列入黑名單,。
吉爾說,,2017年,他僅測試了約30個受歡迎的網(wǎng)站,發(fā)現(xiàn)只有三個易受WCD攻擊,,僅命名為PayPal,。
在當(dāng)時接受本報記者采訪時,吉爾說,,他只測試了具有公共漏洞賞金計劃的網(wǎng)站,,并說,他相信這個問題比他最初的研究和非常有限的研究要廣泛得多,。
測試更多站點以進行WCD攻擊
根據(jù)Alexa的排名,,在本月發(fā)表的一篇學(xué)術(shù)論文中,一個由6名研究人員組成的團隊將Gil的原始著作擴展到了互聯(lián)網(wǎng)上最受歡迎的5,000個網(wǎng)站上,。
他們不僅測試了依靠加載不存在的文件的WCD攻擊,,而且還探索了格式錯誤的URL的其他各種形式,并通過新的攻擊方式擴展了WCD攻擊面,。下圖列出了研究小組測試的WCD攻擊變型,。
研究小組進行了兩次實驗,相隔14個月,。在首次運行時,,他們從Alexa 5,000強列表中選擇了295個網(wǎng)站,這些網(wǎng)站的后端存儲敏感數(shù)據(jù),。對于第二次運行,,他們將列表擴展到340個網(wǎng)站。
在這兩個實驗之后,,研究人員說,,有25個用戶數(shù)量相當(dāng)大的高流量站點容易受到WCD攻擊。
研究人員說:我們的第二個實驗表明,,在兩次測量之間的14個月中,,只有16個站點中的12個能夠緩解其WCD漏洞,而漏洞總數(shù)上升到25個,。
研究人員說,,在大多數(shù)情況下,由于配置不當(dāng)?shù)腃DN緩存規(guī)則,,網(wǎng)站容易受到攻擊,。但是,研究團隊并沒有責(zé)怪CDN提供商,,而只是網(wǎng)站運營商,。
緩慢采取必要的緩解措施的一個原因可能是缺乏用戶意識。但是,,WCD受到安全新聞媒體,,研究社區(qū),,官方Web緩存供應(yīng)商的新聞稿甚至主流媒體的關(guān)注,這也表明可能還有其他原因,。影響因素,。
這些因素包括缺少任何免費或官方的工具來檢查網(wǎng)站的CDN配置是否容易受到攻擊,,以及測試CDN配置所需的大量工作,。
研究小組說:我們提供的經(jīng)驗證據(jù)表明,正確配置網(wǎng)絡(luò)緩存并不是一件容易的事,。此外,,與發(fā)動攻擊相比,檢測和修復(fù)WCD漏洞的復(fù)雜性異常高,。
研究人員說:我們不認為這些發(fā)現(xiàn)以任何方式暗示CDN供應(yīng)商,,而是強調(diào)CDN并非旨在成為處理敏感數(shù)據(jù)的業(yè)務(wù)應(yīng)用程序的即插即用解決方案。 所有CDN都提供了用于緩存和流量操縱的細粒度機制,,站點所有者必須仔細配置和測試這些服務(wù)以滿足他們的需求,。
總而言之,網(wǎng)站運營商似乎并不了解WCD攻擊的全部范圍,,或者他們不知道如何研究和完全緩解這些攻擊,。
想要了解更多信息的ZDNet讀者可以查閱研究人員的白皮書,標題為 緩存與困惑:野外的Web緩存欺騙,,該白皮書將于2020年8月的Usenix安全會議上發(fā)表,。
