解构网页缓存欺骗攻击：它们很糟糕；现在该怎么办？

“Web缓存”指的是任何位于原始Web服务器前端的技术，这些技术可以暂时存储频繁访问的内容，以便后续对相同内容的请求能够高效地得到响应。无论是企业内部部署的集中式缓存代理，还是拥有大量分布式缓存边缘服务器的内容分发网络（CDN），缓存已成为关键的互联网基础设施，使流量传输具有可扩展性。

攻击缓存并不是什么新鲜事。然而，直到2017年，网页缓存攻击才显著增加，并且新颖的攻击手法频频见诸报端。诸如“Web缓存欺骗攻击”、“实际缓存投毒攻击”、“CPDoS：缓存投毒拒绝服务”等研究展示了恶意分子易于利用的灾难性漏洞。

在我们与特伦托大学和东北大学的学术研究中，我们集中研究了上述的网页缓存欺骗攻击（简称WCD）。WCD是一种特别有害的威胁，攻击者通过欺骗缓存存储受害者的敏感数据，从而在互联网上泄露这些数据。我们分析了340个流行网站，发现其中37个受到WCD的影响，并且发现对现有攻击技术进行简单调整就足以发现新的可利用目标。（我们将在2020年8月的Usenix安全研讨会上展示这项名为“缓存与混乱：网络缓存欺骗在野外”的研究。）

WCD是否是真正的安全隐患？绝对是。这一点在过去几年中已经反复强调。在这篇文章中，我将重点讨论一个被广泛忽视的问题：鉴于问题的严重性，为什么我们没有看到研究人员争相提出防御措施？为什么安全厂商没有大量推出解决方案？

不幸的是，这是因为网页缓存易于被利用但极难保护。让我们深入了解攻击的工作原理，以理解其中的原因。

WCD源于缓存和原始服务器对特定HTTP请求的解释不一致。例如，攻击者可以构造一个指向银行网站账户信息的URL，但在其后附加一个不存在的路径组件，并伪装成静态图片，如“/account.php/nonexistent.jpg”。许多原始服务器会简单地忽略无效的后缀并返回账户详情。然而，代理内容的网页缓存将不会注意到原始服务器上的处理，并会将响应存储为图片。如果攻击者能够诱骗用户点击此链接，受害者的账户信息将被缓存，从而给攻击者窃取这些信息的机会。

关键的观察点是，原始服务器和网页缓存各自并没有过错。实际上，当我们分别审视它们时，它们都是完全安全的，执行其预定的功能。相反，漏洞是由于两种技术对同一请求的不同解释，导致对响应的“可缓存性”存在分歧。也许在分析WCD时，安全模型不如安全模型更为合适：故障组件不会导致漏洞；相反，组件之间的危险交互会导致事故。

严重影响

这对安全专业人员来说有严重影响。修复WCD漏洞与修补损坏的软件非常不同；它要求网站运营商采用全面的网络基础设施视角。运营商需要识别可能影响其环境中互联网流量的所有技术，了解它们各自的工作原理以及它们如何相互影响，才能定位漏洞。修复可能需要侵入性的架构更改。

这对于一个小型Web部署已经是非同小可的，但大型企业通常跨越全球基础设施，利用一个拼凑的集中缓存，链结多个CDN提供商。任务迅速变得难以管理。

另一方面，攻击者不需要关心这种复杂性。他们不需要理解为什么漏洞存在，而只需将其目标视为黑箱进行测试。扫描大量网站寻找漏洞是直接的，而修复一个漏洞则需要相当的努力。

基本挑战

随着新的攻击变种的涌现，激动人心的攻击性研究机会，以及媒体对被利用网站的关注，很容易忽视有效WCD防御的基本挑战。缓存攻击可能会在变得更好之前变得更糟，而且我们还没有一个好的解决方案。自动发现Web架构中的危险交互是一个开放的研究问题。

在此期间，回归资产管理的最佳实践是一个好的选择。一个描述实体及其之间关系的良好维护的系统注册表对于帮助网站运营商追踪潜在的WCD漏洞大有裨益。然而，最重要的也许是认识到像WCD这样的系统安全问题不可能由系统所有者、缓存供应商或CDN提供商单独解决。对互联网广泛基础设施进行系统中心的安全和安全分析需要所有相关方的协作。

文章资源: https://www.darkreading.com/cyber-risk/deconstructing-web-cache-deception-attacks-they-re-bad-now-what-