當前位置:
首頁 > 知識 > 新的Web攻擊瞄上CDN緩存伺服器,兩家CDN供應商回應暫無解

新的Web攻擊瞄上CDN緩存伺服器,兩家CDN供應商回應暫無解

EY高級安全中心的信息安全團隊負責人Omer Gil設計了一種方式來欺騙Web伺服器進行緩存頁面並暴露隱私數據。

所謂的Web緩存攻擊是針對使用Akamai和Cloudflare等CDN服務的站點。這些服務充當流量負載平衡和反向代理,並存儲經常檢索的文件,以減少Web伺服器的延遲。新的Web攻擊瞄上CDN緩存伺服器,兩家CDN供應商回應暫無解

Omer Gil表示將在Black Hat黑帽大會期間展示研究,說明黑客如何通過CDN服務,揭露身份驗證用戶的敏感信息,甚至控制他們的帳戶。

Gil說,使用Web緩存服務的許多企業都容易受到這些類型的攻擊。在2月份,他通知PayPal很容易受到這樣的攻擊,允許他訪問一個PayPal賬戶持有人的姓名,信用卡,電子郵件地址,電話號碼甚至護照號碼。為此Gil贏得了3000美元的bug賞金。

該攻擊是使用格式不正確的URL執行的,攻擊者通過該URL嘗試觸發緩存CDN通常不允許緩存的內容。

Akamai在對EY Advanced Security Center研究報告的博客回復中解釋了攻擊:

「例如,假設網址www.example.com/personal.php是指包含不應緩存的敏感數據的內容。攻擊者欺騙目標用戶向www.example.com/personal.php/bar.css發出請求,導致伺服器響應www.example.com/personal.php,其中包含受害者特定的敏感信息Cookie存在於請求中。然而,代理將請求解釋為www.example.com/personal.php/bar.css不存在,可緩存的「bar.css」文件的請求又導致觸發「/ personal」的內容。從而php被存儲在緩存中並被其他人訪問。

Gil表示,攻擊並不限制JS和CSS文件的擴展。總而言之,40種各樣的靜態文件擴展名可以用於Web緩存攻擊,如:aif,aiff,au,avi,bin,bmp,cab,carb,cct,cdf,class,css,doc,dcr,dtd ,gcf,gff,gif,grv,hdml,hqx,ico,ini,jpeg,jpg,js,mov,mp3,nc,pct,ppc,pws,swa,swf,txt,vbs,w32,wav,wbmp,wml ,wmlc,wmls,wmlsc,xsd和zip。

現在,將緩存該特定URL上的數據輸入。那麼攻擊者所需要做的就是重新訪問URL,並可能訪問受害者的個人和財務信息。

Gil表示,我測量了緩存文件到期的時間,看來被訪問一次(第一次)後,一個文件被緩存了5個小時。如果在此期間再次訪問,則延長到期時間。很明顯,這個時間段足以讓攻擊者在到期之前及時捕獲緩存的文件,並且不斷地監視這個URL。

更糟糕的是,如果緩存的響應包含CSRF令牌,會話ID或安全答案,攻擊者可以完全控制目標帳戶

Akamai和Cloudflare都回應了Gil的研究。它們都承認,除了使用CDN的網站預測這種類型的攻擊並減輕攻擊外,沒有任何「銀彈」防止這種類型的攻擊。

Cloudflare表示,防禦這種攻擊的最好辦法是確保你的網站不那麼寬容,並且永遠不會將請求傳遞給不存在的路徑(例如/x/y/z)等同於對有效訪問路徑的請求(例如/x)。

Gil還提出了緩解措施,例如配置Web伺服器,以便諸如http://www.example.com/home.php/non-existent.css等URL不會返回「home.php」的內容URL。相反,例如,伺服器應該響應404或302。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 IT168企業級 的精彩文章:

NVIDIA發布新一代JetPack 3.1 SDK,滿足大型深度學習模型需求
不容忽略的10大頂級網路安全技術 錯過就是過錯!
勁爆!谷歌將新演算法應用於核聚變,發展清潔能源技術
阿里雲ET工業大腦獲「可信雲」工業智能雲獎

TAG:IT168企業級 |

您可能感興趣

Spark調優的關鍵—RDD Cache緩存使用詳解
NVMe SSD如何用之應用端緩存加速
機械盤情何以堪!SSD首次用上LPDDR4緩存 還有8TB大容量
Linux下搭建高可用Redis緩存
Redis緩存技術應用
解毒|用不完的SLC緩存?威剛XPG S11性能測試
Chrome添加HTTP緩存分區以阻止旁道攻擊
高性能MySQL複製與緩存
MyBatis中的緩存
Python+Memcached:在分散式應用程序中實現高效緩存
用不完的SLC緩存?威剛XPG S11性能測試
Python + Memcached:在分散式應用程序中實現高效緩存
Python + Memcached: 在分散式應用程序中實現高效緩存
通俗講懂固態硬碟:SSD為何要用SLC緩存
詳解HTTP緩存
Hitachi Vantara升級Skylaking伺服器加入Optane緩存和GPU
開源分散式內存緩存系統 Memcrashed 被利用發起 DDoS 放大攻擊,峰值竟達 500 Gbps
PC廠商英特爾將Optane緩存當成內存宣傳 完全是在誤導買家啊
使用RedisTemplate(JDK序列化策略)緩存實體類
SpringBoot:SpringDataRedis緩存改造