Cache Poisoning to DoS

• HTTP标头超大（HHO）

发送一个带有比Web服务器支持的标头大小更大但比缓存服务器支持的标头大小更小的请求。Web服务器将以400响应进行响应，该响应可能会被缓存：

GET / HTTP/1.1
Host: redacted.com
X-Oversize-Hedear:Big-Value-000000000000000

• HTTP Meta Character (HMC) & Unexpected values

发送一个包含一些有害的元字符，如和的标头。为了使攻击生效，您必须首先绕过缓存。

GET / HTTP/1.1
Host: redacted.com
X-Meta-Hedear:Bad Chars\n \r

一个糟糕配置的标头可能只是\:作为一个标头。

如果发送了意外的值，比如意外的Content-Type:，这也可能起作用。

GET /anas/repos HTTP/2
Host: redacted.com
Content-Type: HelloWorld

• 未加密的标头

一些网站会在请求中看到特定的标头时返回错误状态码，比如 X-Amz-Website-Location-Redirect: someThing 标头：

• HTTP方法覆盖攻击（HMO）

如果服务器支持使用诸如 X-HTTP-Method-Override、X-HTTP-Method 或 X-Method-Override 等标头更改HTTP方法。可以请求一个有效页面并更改方法，以便服务器不支持该方法，从而导致缓存了错误的响应：

• 未加密端口

如果主机头中的端口在响应中反射，但未包含在缓存键中，则可能将其重定向到未使用的端口：

• 长重定向拒绝服务攻击

就像下面的例子一样，x 没有被缓存，因此攻击者可以滥用重定向响应行为，使重定向发送一个如此庞大的 URL 以至于返回错误。然后，尝试访问没有缓存的 x 键的 URL 的人将收到错误响应：

• 主机头大小写规范化

主机头应该是不区分大小写的，但一些网站希望它是小写的，如果不是，则会返回错误：

• 路径规范化

某些页面会返回错误代码，将数据以 URLencode 的方式发送到路径中，然而，缓存服务器会对路径进行 URLdecode 处理，并将响应存储为 URLdecoded 路径：

• Fat Get

一些缓存服务器，比如Cloudflare，或者Web服务器，会阻止带有主体的GET请求，因此这可能被滥用来缓存一个无效的响应：

参考资料

• https://anasbetis023.medium.com/dont-trust-the-cache-exposing-web-cache-poisoning-and-deception-vulnerabilities-3a829f221f52

• https://youst.in/posts/cache-poisoning-at-scale/?source=post_page-----3a829f221f52--------------------------------