白帽黑客贡献新的Web攻击方式，CDN缓存服务器成为数据泄露目标

EY高级安全中心的信息安全团队负责人Omer Gil设计了一种方式来欺骗Web服务器进行缓存页面并暴露隐私数据。

所谓的Web缓存攻击是针对使用Akamai和Cloudflare等CDN服务的站点。这些服务充当流量负载平衡和反向代理，并存储经常检索的文件，以减少Web服务器的延迟。

Omer Gil表示将在Black Hat黑帽大会期间展示研究，说明黑客如何通过CDN服务，揭露身份验证用户的敏感信息，甚至控制他们的帐户。

Gil说，使用Web缓存服务的许多企业都容易受到这些类型的攻击。在2月份，他通知PayPal很容易受到这样的攻击，允许他访问一个PayPal账户持有人的姓名，信用卡，电子邮件地址，电话号码甚至护照号码。为此Gil赢得了3000美元的bug赏金。

该攻击是使用格式不正确的URL执行的，攻击者通过该URL尝试触发缓存CDN通常不允许缓存的内容。

Akamai在对EY Advanced Security Center研究报告的博客回复中解释了攻击：

“例如，假设网址www.example.com/personal.php是指包含不应缓存的敏感数据的内容。攻击者欺骗目标用户向www.example.com/personal.php/bar.css发出请求，导致服务器响应www.example.com/personal.php，其中包含受害者特定的敏感信息Cookie存在于请求中。然而，代理将请求解释为www.example.com/personal.php/bar.css不存在，可缓存的“bar.css”文件的请求又导致触发“/ personal”的内容。从而php被存储在缓存中并被其他人访问。

Gil表示，攻击并不限制JS和CSS文件的扩展。总而言之，40种各样的静态文件扩展名可以用于Web缓存攻击，如：aif，aiff，au，avi，bin，bmp，cab，carb，cct，cdf，class，css，doc，dcr，dtd ，gcf，gff，gif，grv，hdml，hqx，ico，ini，jpeg，jpg，js，mov，mp3，nc，pct，ppc，pws，swa，swf，txt，vbs，w32，wav，wbmp，wml ，wmlc，wmls，wmlsc，xsd和zip。

现在，将缓存该特定URL上的数据输入。那么攻击者所需要做的就是重新访问URL，并可能访问受害者的个人和财务信息。

Gil表示，我测量了缓存文件到期的时间，看来被访问一次（第一次）后，一个文件被缓存了5个小时。如果在此期间再次访问，则延长到期时间。很明显，这个时间段足以让攻击者在到期之前及时捕获缓存的文件，并且不断地监视这个URL。

更糟糕的是，如果缓存的响应包含CSRF令牌，会话ID或安全答案，攻击者可以完全控制目标帐户

Akamai和Cloudflare都回应了Gil的研究。它们都承认，除了使用CDN的网站预测这种类型的攻击并减轻攻击外，没有任何“银弹”防止这种类型的攻击。

Cloudflare表示，防御这种攻击的最好办法是确保你的网站不那么宽容，并且永远不会将请求传递给不存在的路径（例如/x/y/z）等同于对有效访问路径的请求（例如/x）。

Gil还提出了缓解措施，例如配置Web服务器，以便诸如http://www.example.com/home.php/non-existent.css等URL不会返回“home.php”的内容URL。相反，例如，服务器应该响应404或302。