Web缓存欺骗攻击技术详解：静态目录与文件命名缓存方式<\/h1>

1. 分隔符解码差异引发的安全问题<\/h2>

1.1 分隔符解码机制差异<\/h3>

当网站需要在URL中发送包含特殊含义字符（如分隔符）的数据时，通常会对这些字符进行编码。然而不同解析器对编码字符的处理方式存在差异：<\/p>

源服务器<\/strong>：通常会对编码字符（如%23）进行解码，然后处理<\/li>

缓存服务器<\/strong>：可能不会解码编码字符，直接应用缓存规则<\/li> <\/ul>
1.2 常见分隔符及其编码形式<\/h3>

字符<\/th> 编码<\/th> 作用<\/th> <\/tr> <\/thead>

#<\/td> %23<\/td> 片段标识符<\/td> <\/tr>
?<\/td> %3F<\/td> 查询字符串起始<\/td> <\/tr>
\/<\/td> %2F<\/td> 路径分隔符<\/td> <\/tr>
空格<\/td> %20<\/td> 空格符<\/td> <\/tr>
\0<\/td> %00<\/td> 空字符<\/td> <\/tr>
\n<\/td> %0A<\/td> 换行符<\/td> <\/tr>
\t<\/td> %09<\/td> 制表符<\/td> <\/tr> <\/tbody> <\/table>
1.3 攻击原理<\/h3>
通过使用编码分隔符将静态扩展添加到缓存（而非源服务器）查看的路径：<\/p>

缓存服务器看到的是编码后的URL（如\/profile%23wcd.css<\/code>），根据.css<\/code>扩展名应用缓存规则<\/li>
源服务器解码后看到的是\/profile#wcd.css<\/code>，将#<\/code>视为分隔符，返回\/profile<\/code>的内容<\/li>
攻击者可通过访问\/profile%23wcd.css<\/code>获取被缓存的敏感信息<\/li> <\/ol> 2. 静态目录缓存规则利用<\/h2> 2.1 标准化差异<\/h3> 缓存和源服务器对URL路径的标准化处理存在差异：<\/p> 源服务器<\/strong>：可能解码编码字符并解析点段（如..<\/code>）<\/li> 缓存服务器<\/strong>：可能不解析点段或解码斜杠<\/li> <\/ul> 2.2 检测标准化方式<\/h3> 检测源服务器标准化方式<\/h4> 向不可缓存的资源（如POST请求）发送包含路径遍历序列的请求示例：将\/profile<\/code>修改为\/aaa\/..%2fprofile<\/code><\/li> <\/ul> <\/li> 观察响应：返回profile信息：源服务器解码斜杠并解析点段<\/li> 返回404：源服务器不解码斜杠或不解析点段<\/li> <\/ul> <\/li> <\/ol> 检测缓存服务器标准化方式<\/h4> 选择具有缓存响应的请求<\/li> 使用路径遍历序列和静态路径开头的任意目录重新发送请求示例：\/aaa\/..%2fassets\/js\/stockCheck.js<\/code><\/li> <\/ul> <\/li> 观察响应：不再缓存：缓存未规范化路径<\/li> 仍然缓存：缓存已规范化路径<\/li> <\/ul> <\/li> <\/ol> 2.3 攻击利用方法<\/h3> 当源服务器解析编码的点段而缓存不解析时，可构造如下有效负载：<\/p> \/<static-directory-prefix>\/..%2f<dynamic-path> <\/code><\/pre> 示例：\/assets\/..%2fprofile<\/code><\/p> 缓存解释为：\/assets\/..%2fprofile<\/code><\/li> 源服务器解释为：\/profile<\/code><\/li> 结果：动态profile信息被缓存<\/li> <\/ul> 3. 文件命名缓存规则利用<\/h2> 3.1 常见缓存规则<\/h3> 缓存服务器通常会对特定文件扩展名（如.css<\/code>, .js<\/code>, .png<\/code>等）应用缓存规则<\/p> 3.2 攻击方法<\/h3> 识别目标网站使用的静态文件扩展名<\/li> 在敏感端点后添加静态扩展名示例：\/my-account%3fwcd.css<\/code><\/li> <\/ul> <\/li> 缓存服务器看到.css<\/code>扩展名会缓存响应<\/li> 源服务器将%3f<\/code>解码为?<\/code>，解释为\/my-account?wcd.css<\/code><\/li> 攻击者访问\/my-account%3fwcd.css<\/code>获取被缓存的账户信息<\/li> <\/ol> 4. 防御措施<\/h2> 4.1 服务器端防御<\/h3> 统一标准化处理<\/strong>：确保缓存和源服务器对URL的处理方式一致<\/li> 禁用缓存<\/strong>：对敏感内容禁用缓存（使用Cache-Control: no-store<\/code>）<\/li> 严格路径验证<\/strong>：拒绝包含..<\/code>或编码分隔符的请求<\/li> 用户相关内容<\/strong>：避免缓存包含用户特定信息的响应<\/li> <\/ol> 4.2 开发实践<\/h3> 避免基于扩展名的缓存<\/strong>：不要仅根据文件扩展名决定是否缓存<\/li> 规范化处理<\/strong>：在处理请求前统一规范化URL路径<\/li> 敏感内容隔离<\/strong>：将静态资源和动态内容放在不同域名下<\/li> <\/ol> 5. 实战案例<\/h2> 5.1 靶场示例<\/h3> 靶场地址：https:\/\/portswigger.net\/web-security\/web-cache-deception\/lab-wcd-exploiting-origin-server-normalization<\/p> 攻击步骤<\/strong>：<\/p> 使用提供的凭据（wiener:peter）登录<\/li> 识别API Key回显端点（如\/my-account<\/code>）<\/li> 探测源服务器的截断规则，寻找可用分隔符<\/li> 构造有效负载：\/static\/..%2fmy-account<\/code><\/li> 诱使受害者访问恶意URL<\/li> 从缓存中获取其他用户（如carlos）的API Key<\/li> <\/ol> 5.2 自动化探测<\/h3> 使用Burp Suite的Intruder模块进行FUZZ测试：<\/p> 设置FUZZ位置：\/my-accountFUZZ.css<\/code><\/li> 使用分隔符编码列表作为payload<\/li> 分析响应，寻找返回账户信息但被缓存的请求<\/li> <\/ol> 6. 总结<\/h2> Web缓存欺骗攻击利用缓存服务器和源服务器对URL处理方式的差异，通过精心构造的URL路径使敏感信息被错误地缓存。防御此类攻击需要开发人员充分理解缓存机制，并在整个请求处理链中实施一致的标准化处理。<\/p>

字符<\/th>	编码<\/th>	作用<\/th> <\/tr> <\/thead>
#<\/td>	%23<\/td>	片段标识符<\/td> <\/tr>
?<\/td>	%3F<\/td>	查询字符串起始<\/td> <\/tr>
\/<\/td>	%2F<\/td>	路径分隔符<\/td> <\/tr>
空格<\/td>	%20<\/td>	空格符<\/td> <\/tr>
\0<\/td>	%00<\/td>	空字符<\/td> <\/tr>
\n<\/td>	%0A<\/td>	换行符<\/td> <\/tr>
\t<\/td>	%09<\/td>	制表符<\/td> <\/tr> <\/tbody> <\/table> 1.3 攻击原理<\/h3> 通过使用编码分隔符将静态扩展添加到缓存（而非源服务器）查看的路径：<\/p> 缓存服务器看到的是编码后的URL（如`\/profile%23wcd.css<\/code>），根据.css<\/code>扩展名应用缓存规则<\/li>` `源服务器解码后看到的是\/profile#wcd.css<\/code>，将#<\/code>视为分隔符，返回\/profile<\/code>的内容<\/li>` 攻击者可通过访问\/profile%23wcd.css<\/code>获取被缓存的敏感信息<\/li> <\/ol> 2. 静态目录缓存规则利用<\/h2> 2.1 标准化差异<\/h3> 缓存和源服务器对URL路径的标准化处理存在差异：<\/p> 源服务器<\/strong>：可能解码编码字符并解析点段（如..<\/code>）<\/li> 缓存服务器<\/strong>：可能不解析点段或解码斜杠<\/li> <\/ul> 2.2 检测标准化方式<\/h3> 检测源服务器标准化方式<\/h4> 向不可缓存的资源（如POST请求）发送包含路径遍历序列的请求示例：将\/profile<\/code>修改为\/aaa\/..%2fprofile<\/code><\/li> <\/ul> <\/li> 观察响应：返回profile信息：源服务器解码斜杠并解析点段<\/li> 返回404：源服务器不解码斜杠或不解析点段<\/li> <\/ul> <\/li> <\/ol> 检测缓存服务器标准化方式<\/h4> 选择具有缓存响应的请求<\/li> 使用路径遍历序列和静态路径开头的任意目录重新发送请求示例：\/aaa\/..%2fassets\/js\/stockCheck.js<\/code><\/li> <\/ul> <\/li> 观察响应：不再缓存：缓存未规范化路径<\/li> 仍然缓存：缓存已规范化路径<\/li> <\/ul> <\/li> <\/ol> 2.3 攻击利用方法<\/h3> 当源服务器解析编码的点段而缓存不解析时，可构造如下有效负载：<\/p> \/<static-directory-prefix>\/..%2f<dynamic-path> <\/code><\/pre> 示例：\/assets\/..%2fprofile<\/code><\/p> 缓存解释为：\/assets\/..%2fprofile<\/code><\/li> 源服务器解释为：\/profile<\/code><\/li> 结果：动态profile信息被缓存<\/li> <\/ul> 3. 文件命名缓存规则利用<\/h2> 3.1 常见缓存规则<\/h3> 缓存服务器通常会对特定文件扩展名（如.css<\/code>, .js<\/code>, .png<\/code>等）应用缓存规则<\/p> 3.2 攻击方法<\/h3> 识别目标网站使用的静态文件扩展名<\/li> 在敏感端点后添加静态扩展名示例：\/my-account%3fwcd.css<\/code><\/li> <\/ul> <\/li> 缓存服务器看到.css<\/code>扩展名会缓存响应<\/li> 源服务器将%3f<\/code>解码为?<\/code>，解释为\/my-account?wcd.css<\/code><\/li> 攻击者访问\/my-account%3fwcd.css<\/code>获取被缓存的账户信息<\/li> <\/ol> 4. 防御措施<\/h2> 4.1 服务器端防御<\/h3> 统一标准化处理<\/strong>：确保缓存和源服务器对URL的处理方式一致<\/li> 禁用缓存<\/strong>：对敏感内容禁用缓存（使用Cache-Control: no-store<\/code>）<\/li> 严格路径验证<\/strong>：拒绝包含..<\/code>或编码分隔符的请求<\/li> 用户相关内容<\/strong>：避免缓存包含用户特定信息的响应<\/li> <\/ol> 4.2 开发实践<\/h3> 避免基于扩展名的缓存<\/strong>：不要仅根据文件扩展名决定是否缓存<\/li> 规范化处理<\/strong>：在处理请求前统一规范化URL路径<\/li> 敏感内容隔离<\/strong>：将静态资源和动态内容放在不同域名下<\/li> <\/ol> 5. 实战案例<\/h2> 5.1 靶场示例<\/h3> 靶场地址：https:\/\/portswigger.net\/web-security\/web-cache-deception\/lab-wcd-exploiting-origin-server-normalization<\/p> 攻击步骤<\/strong>：<\/p> 使用提供的凭据（wiener:peter）登录<\/li> 识别API Key回显端点（如\/my-account<\/code>）<\/li> 探测源服务器的截断规则，寻找可用分隔符<\/li> 构造有效负载：\/static\/..%2fmy-account<\/code><\/li> 诱使受害者访问恶意URL<\/li> 从缓存中获取其他用户（如carlos）的API Key<\/li> <\/ol> 5.2 自动化探测<\/h3> 使用Burp Suite的Intruder模块进行FUZZ测试：<\/p> 设置FUZZ位置：\/my-accountFUZZ.css<\/code><\/li> 使用分隔符编码列表作为payload<\/li> 分析响应，寻找返回账户信息但被缓存的请求<\/li> <\/ol> 6. 总结<\/h2> Web缓存欺骗攻击利用缓存服务器和源服务器对URL处理方式的差异，通过精心构造的URL路径使敏感信息被错误地缓存。防御此类攻击需要开发人员充分理解缓存机制，并在整个请求处理链中实施一致的标准化处理。<\/p>