新的Web攻擊瞄上CDN緩存伺服器，兩家CDN供應商回應暫無解

EY高級安全中心的信息安全團隊負責人Omer Gil設計了一種方式來欺騙Web伺服器進行緩存頁面並暴露隱私數據。

所謂的Web緩存攻擊是針對使用Akamai和Cloudflare等CDN服務的站點。這些服務充當流量負載平衡和反向代理，並存儲經常檢索的文件，以減少Web伺服器的延遲。

Omer Gil表示將在Black Hat黑帽大會期間展示研究，說明黑客如何通過CDN服務，揭露身份驗證用戶的敏感信息，甚至控制他們的帳戶。

Gil說，使用Web緩存服務的許多企業都容易受到這些類型的攻擊。在2月份，他通知PayPal很容易受到這樣的攻擊，允許他訪問一個PayPal賬戶持有人的姓名，信用卡，電子郵件地址，電話號碼甚至護照號碼。為此Gil贏得了3000美元的bug賞金。

該攻擊是使用格式不正確的URL執行的，攻擊者通過該URL嘗試觸發緩存CDN通常不允許緩存的內容。

Akamai在對EY Advanced Security Center研究報告的博客回復中解釋了攻擊：

「例如，假設網址www.example.com/personal.php是指包含不應緩存的敏感數據的內容。攻擊者欺騙目標用戶向www.example.com/personal.php/bar.css發出請求，導致伺服器響應www.example.com/personal.php，其中包含受害者特定的敏感信息Cookie存在於請求中。然而，代理將請求解釋為www.example.com/personal.php/bar.css不存在，可緩存的「bar.css」文件的請求又導致觸發「/ personal」的內容。從而php被存儲在緩存中並被其他人訪問。

Gil表示，攻擊並不限制JS和CSS文件的擴展。總而言之，40種各樣的靜態文件擴展名可以用於Web緩存攻擊，如：aif，aiff，au，avi，bin，bmp，cab，carb，cct，cdf，class，css，doc，dcr，dtd ，gcf，gff，gif，grv，hdml，hqx，ico，ini，jpeg，jpg，js，mov，mp3，nc，pct，ppc，pws，swa，swf，txt，vbs，w32，wav，wbmp，wml ，wmlc，wmls，wmlsc，xsd和zip。

現在，將緩存該特定URL上的數據輸入。那麼攻擊者所需要做的就是重新訪問URL，並可能訪問受害者的個人和財務信息。

Gil表示，我測量了緩存文件到期的時間，看來被訪問一次（第一次）後，一個文件被緩存了5個小時。如果在此期間再次訪問，則延長到期時間。很明顯，這個時間段足以讓攻擊者在到期之前及時捕獲緩存的文件，並且不斷地監視這個URL。

更糟糕的是，如果緩存的響應包含CSRF令牌，會話ID或安全答案，攻擊者可以完全控制目標帳戶

Akamai和Cloudflare都回應了Gil的研究。它們都承認，除了使用CDN的網站預測這種類型的攻擊並減輕攻擊外，沒有任何「銀彈」防止這種類型的攻擊。

Cloudflare表示，防禦這種攻擊的最好辦法是確保你的網站不那麼寬容，並且永遠不會將請求傳遞給不存在的路徑（例如/x/y/z）等同於對有效訪問路徑的請求（例如/x）。

Gil還提出了緩解措施，例如配置Web伺服器，以便諸如http://www.example.com/home.php/non-existent.css等URL不會返回「home.php」的內容URL。相反，例如，伺服器應該響應404或302。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！