Tromperie du cache avec des règles de correspondance exacte

Exploiting exact-match cache rules for web cache deception

Lab: Exploiting exact-match cache rules for web cache deception | Web Security AcademyWebSecAcademy

Objectif du lab

• Modifier l’adresse e-mail de l’utilisateur administrator.

• Connexion disponible : wiener:peter.

• Une liste de délimiteurs est fournie : Web cache deception lab delimiter list.

Contexte observé

• Sur My account, il existe un champ pour changer l’e-mail.

• La requête envoyée ressemble à :

Tests sur les délimiteurs

Web cache deception lab delimiter list | Web Security AcademyWebSecAcademy

• En testant les caractères de la liste, le site accepte notamment :

  • le point-virgule ;

  • le point d’interrogation ?

Les attaques “classiques” ne fonctionnent pas dans ce lab.

Découverte d’une ressource cachée

• Depuis Target → Site map, utilisation de Discover content.

• Un fichier robots.txt apparaît et il est mis en cache.

Déception de cache via normalisation (chemin exact + détour)

But : forcer le cache à stocker une réponse sensible en la faisant “ressembler” à une ressource cachable.

Requêtes utilisées :

Exploit envoyé à la victime

Résultat :

• La page retournée correspond au compte administrator.

Dans la réponse, on récupère le CSRF token du formulaire e-mail, par exemple :

Étape finale prévue

• Utiliser ce token pour générer un PoC CSRF afin d’envoyer une requête POST sur la page de changement d’e-mail de My account, et ainsi modifier l’e-mail de administrator.