Tromperie du cache avec des règles de correspondance exacte

Exploiting exact-match cache rules for web cache deception

Objectif du lab

  • Modifier l’adresse e-mail de l’utilisateur administrator.

  • Connexion disponible : wiener:peter.

  • Une liste de délimiteurs est fournie : Web cache deception lab delimiter list.

Contexte observé

  • Sur My account, il existe un champ pour changer l’e-mail.

  • La requête envoyée ressemble à :

Tests sur les délimiteurs

  • En testant les caractères de la liste, le site accepte notamment :

    • le point-virgule ;

    • le point d’interrogation ?

Les attaques “classiques” ne fonctionnent pas dans ce lab.

Découverte d’une ressource cachée

  • Depuis Target → Site map, utilisation de Discover content.

  • Un fichier robots.txt apparaît et il est mis en cache.

Déception de cache via normalisation (chemin exact + détour)

But : forcer le cache à stocker une réponse sensible en la faisant “ressembler” à une ressource cachable.

Requêtes utilisées :

Exploit envoyé à la victime

Résultat :

  • La page retournée correspond au compte administrator.

Dans la réponse, on récupère le CSRF token du formulaire e-mail, par exemple :

Étape finale prévue

  • Utiliser ce token pour générer un PoC CSRF afin d’envoyer une requête POST sur la page de changement d’e-mail de My account, et ainsi modifier l’e-mail de administrator.

Mis à jour