Poisoning avec cookie non indexé

Lab: Web cache poisoning with an unkeyed cookie | Web Security AcademyWebSecAcademy

Ce laboratoire est vulnérable au web cache poisoning car les cookies ne sont pas inclus dans la clé de cache. Un utilisateur légitime visite régulièrement la page d’accueil. L’objectif est d’empoisonner le cache avec une réponse qui exécute alert(1) dans le navigateur de la victime.

Analyse de la réponse

On intercepte la requête vers la racine (/).
Dans la réponse HTML, on observe un script JavaScript contenant des données dynamiques :

<script>
  data = {
    "host":"0ab5006d03269ea785b94a9e000100c5.web-security-academy.net",
    "path":"/",
    "frontend":"prod-cache-01"
  }
</script>

Le champ frontend correspond à la valeur d’un cookie envoyé par le navigateur

Dans la requête, un cookie nommé fehost est présent :

fehost=prod-cache-01

Cette valeur est directement réutilisée dans la réponse sans être intégrée à la clé de cache.

En modifiant la valeur du cookie fehost, on constate que la réponse reflète immédiatement la nouvelle valeur :

fehost=test

Cela confirme que le cookie est non indexé dans le cache et qu’il influence le contenu mis en cache.

Injection de payload

On injecte alors une valeur malveillante dans le cookie afin de casser le contexte JavaScript et d’exécuter du code arbitraire :

test"-alert(1)-"efffe

Le payload s’échappe de la chaîne JavaScript et injecte un appel à alert(1).

Mis à jour il y a 2 mois

hashtagWeb cache poisoning with an unkeyed cookie

hashtagAnalyse de la réponse

hashtagObservation du cookie

hashtagManipulation du cookie

hashtagInjection de payload

Web cache poisoning with an unkeyed cookie

Analyse de la réponse

Observation du cookie

Manipulation du cookie

Injection de payload