4月份，我们写了一篇关于Web缓存欺骗攻击的文章，以及我们的客户如何使用源代码配置来避免这些攻击。阅读这篇博文，了解如何配置您的网站，以及对于那些无法配置的用户，如何禁用某些uri的缓存以防止此类攻击。自从我们上一篇博文以来，我们一直在寻找，但还没有在野外看到过类似这样的大规模攻击。今天，我们发布了一个工具来帮助我们的客户确保只缓存应该缓存的资产。Web缓存欺骗攻击简介回想一下，当攻击者诱骗用户点击以下格式的链接时，就会发生Web缓存欺骗攻击，什么时候为不同用户返回不同内容的动态脚本的位置。对于某些网站配置（在Apache中是默认配置，但在nginx中不是默认配置），这将调用/newsfeed并将PATH_INFO设置为/食品.jpg. 如果不返回正确的缓存控制头来告诉web缓存不要缓存内容，web缓存可能会根据URL的扩展名决定缓存结果。然后，攻击者可以访问同一个URL并检索私有页的缓存内容。正确的解决方法是将您的网站配置为使用额外的路径信息拒绝请求或返回正确的Cache Control标头。有时我们的客户无法做到这一点（可能网站运行的是他们无法完全控制的第三方软件），他们可以对这些脚本位置应用旁路缓存页面规则。隐藏欺骗装甲亨利·胡斯塔瓦摄新的缓存欺骗装甲页面规则保护客户免受Web缓存欺骗攻击，同时仍然允许缓存静态资产。它验证URL的扩展名是否与返回的内容类型匹配。在上面的例子中，如果是输出网页的脚本，内容类型为text/html。另一方面，内容类型应为image/jpeg。当我们看到可能导致Web缓存欺骗攻击的不匹配时，我们不会缓存响应。有一些例外。例如，如果返回的内容类型是application/octet stream，我们就不关心扩展名是什么，因为这通常是一个指示浏览器保存资产而不是显示它的信号。我们还允许.jpg作为image/webp或.gif作为video/webm以及其他我们认为不太可能成为攻击的情况。这个新的页面规则依赖于源缓存控制。来源或边缘快取TTL页面规则的快取控制标头会覆写此保护。