ソース:
脆弱性:WebCachePoisoning
訳:
いつものように、私はソニーの買収に取り組んでいました。
静的ドメインを見つけたので、burp スイートでリクエストをインターセプトしようとしました。
サイト全体を探索しようとしましたが、新しいものは何もありませんでした。
BSCP の準備中に、ポートウィッガーから Web キャッシュ ポイズニング ラボをチェックアウトしました。
そこで、このサイトで Web キャッシュポイズニングの問題を確認してみようと思いました。
すでに param miner 拡張機能が burpsuite にインストールされていました。
そこで、Param Miner拡張機能を使用してすべてを推測しようとしました。
スキャン後、ゲップはリクエスト内にキーのないヘッダーを見つけました。
ここで、最初のリクエストにホストヘッダーである `X-Forwarded-Host: example.com` を追加して、応答を確認してみました。
応答は次のようなものでした。
元のホスト ドメインは X-Forwarded-Host によって上書きされました。
プライベート ブラウザで URL を開こうとしましたが、応答には example.com が表示されました。 一瞬とても嬉しかったです。
Stored XSS にエスカレートしようとしましたが、AkamaiGhost WAF があったため失敗しました。
しかし、私はこの Web キャッシュ ポイズニング攻撃を通じて HTML インジェクションを取得することに成功しました。
以下のリクエストを送信しました。
GET /blog?abcde=234 HTTP/2
Host: www.test.com
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
X-Forwarded-Host: test.com"><h1>themarkib0x0
Accept-Encoding: gzip, deflate, br
Content-Length: 2
ほなほな。