Web缓存投毒全面解析与实战指南<\/h1>

1. 缓存基础概念<\/h2>

1.1 缓存工作原理<\/h3>

Web缓存位于用户和应用程序服务器之间，用于保存和提供某些响应的副本，目的是：<\/p>

加速页面加载（减少延迟）<\/li>

减轻应用服务器负载<\/li> <\/ul>

常见缓存实现：<\/p>

Varnish等软件缓存<\/li>
Cloudflare等CDN（内容分发网络）<\/li>

Drupal等框架内置缓存<\/li> <\/ul>

1.2 缓存键(Cache keys)<\/h3>

缓存通过"缓存键"判断两个请求是否请求相同资源，典型缓存键包含：<\/p>

请求路径<\/li>
查询参数<\/li>
Host头<\/li>

部分请求头（如User-Agent）<\/li> <\/ul>

关键问题：如果应用程序响应受未包含在缓存键中的输入（如某些请求头）影响，可能导致缓存投毒。<\/p>

2. Web缓存投毒原理<\/h2>

2.1 基本概念<\/h3>

Web缓存投毒是指发送导致有害响应的请求，该响应将被缓存并提供给其他用户。<\/p>

与Web缓存欺骗的区别：<\/p>

缓存投毒：攻击者主动注入恶意内容<\/li>

缓存欺骗：诱导用户暴露敏感信息到缓存<\/li> <\/ul>

2.2 攻击方法<\/h3>

识别未加密的输入（unkeyed inputs）<\/li>
评估可利用性<\/li>
尝试存储到缓存<\/li>

验证缓存行为<\/li> <\/ol>

3. 实战案例研究<\/h2>

3.1 基础投毒案例（Red Hat）<\/h3>

发现未加密输入：X-Forwarded-Host头<\/li>

构造XSS payload：

GET \/en?dontpoisoneveryone=1 HTTP\/1.1
Host: www.redhat.com
X-Forwarded-Host: a."><script>alert(1)<\/script>
<\/code><\/pre>
<\/li>
验证缓存存储（即使有Cache-Control: no-cache）<\/li>
<\/ol>
3.2 选择性投毒<\/h3>
某些缓存将User-Agent包含在缓存键中，导致投毒仅影响特定浏览器版本的用户。<\/p>
3.3 DOM投毒（data.gov案例）<\/h3>

控制data-site-root属性：
<body data-site-root="https:\/\/canary\/">
<\/code><\/pre>
<\/li>
发现该属性用于加载国际化数据<\/li>
构造恶意翻译文件实现XSS：
{"Show more":"<svg onload=alert(1)>"}
<\/code><\/pre>
<\/li>
<\/ol>
3.4 Mozilla SHIELD劫持<\/h3>

通过X-Forwarded-Host头劫持Firefox的recipes获取<\/li>
影响：可能强制数千万用户访问攻击者控制的URL<\/li>
<\/ol>
3.5 路由投毒<\/h3>
利用X-Forwarded-Server等头改变内部路由：<\/p>
GET \/ HTTP\/1.1
Host: www.goodhire.com
X-Forwarded-Server: canary
<\/code><\/pre>
响应可能被错误路由到其他服务（如HubSpot）。<\/p>
3.6 Drupal相关攻击<\/h3>

利用X-Original-URL\/X-Rewrite-URL覆盖请求路径<\/li>
结合destination参数实现开放重定向<\/li>
嵌套缓存投毒技术<\/li>
<\/ol>
4. 高级攻击技术<\/h2>
4.1 跨云投毒<\/h3>
针对CloudFront\/Cloudflare等CDN：<\/p>

识别不同地理位置的缓存节点IP<\/li>
定向攻击特定区域的缓存<\/li>
<\/ol>
4.2 持久投毒技术<\/h3>

利用Age和max-age头确定缓存过期时间<\/li>
在缓存过期后立即发送攻击请求<\/li>
<\/ol>
4.3 隐蔽投毒技术<\/h3>

使用常见User-Agent列表扩大影响范围<\/li>
针对特定用户代理实现精准攻击<\/li>
<\/ol>
5. 防御措施<\/h2>
5.1 最佳实践<\/h3>

禁用缓存（如不可行则限制为纯静态内容）<\/li>
避免从请求头和cookie中获取输入<\/li>
审计所有页面是否存在未加密输入<\/li>
<\/ol>
5.2 缓存层配置<\/h3>

从缓存层剥离未加密输入<\/li>
将关键输入添加到缓存键<\/li>
谨慎使用Vary头（某些CDN会忽略）<\/li>
<\/ol>
5.3 框架级修复<\/h3>

禁用危险的头处理功能（如Drupal的X-Original-URL）<\/li>
严格验证重定向目标<\/li>
<\/ol>
6. 工具与方法论<\/h2>
6.1 Param Miner工具<\/h3>
Burp Suite扩展，用于：<\/p>

自动发现未加密输入<\/li>
猜测header\/cookie名称<\/li>
检测对响应的影响<\/li>
<\/ul>
6.2 测试方法论<\/h3>

使用缓存破坏器（cache buster）避免影响真实用户<\/li>
分阶段验证：

输入识别<\/li>
可利用性评估<\/li>
缓存存储验证<\/li>
<\/ul>
<\/li>
多环境测试（不同地理位置、浏览器等）<\/li>
<\/ol>
7. 总结<\/h2>
Web缓存投毒已成为实际威胁，主要由于：<\/p>

复杂应用堆栈中隐藏的未加密输入<\/li>
缓存默认启用且配置不当<\/li>
框架和CDN的广泛功能被滥用<\/li>
<\/ol>
防御需要开发、运维和安全团队的协作，从应用设计到部署配置的全流程关注。<\/p>

Web缓存投毒全面解析与实战指南<\/h1>

1. 缓存基础概念<\/h2>

2. Web缓存投毒原理<\/h2>

3. 实战案例研究<\/h2>

3.2 选择性投毒<\/h3> 某些缓存将User-Agent包含在缓存键中，导致投毒仅影响特定浏览器版本的用户。<\/p>

4. 高级攻击技术<\/h2>

5. 防御措施<\/h2>

6. 工具与方法论<\/h2>

3.2 选择性投毒<\/h3>
某些缓存将User-Agent包含在缓存键中，导致投毒仅影响特定浏览器版本的用户。<\/p>