緩衝欺騙防禦功能可以用於解決緩衝中毒攻擊問題。
什麼是緩衝欺騙
緩衝欺騙是一種攻擊手法,攻擊者通過向緩衝系統發送特定請求,誘使緩衝系統儲存錯誤或惡意的內容。這會導致後續使用者請求時從緩衝中擷取到這些有害內容,從而影響使用者體驗,甚至導致安全問題。
Web緩衝機制
Web緩衝機制是一種最佳化策略,旨在提升網站內容的訪問速度並減輕伺服器負擔。當採用邊緣安全加速服務如ESA時,其邊緣節點扮演著關鍵角色。這些節點依據預設的緩衝規則,判斷是否將用戶端請求的資源檔(如CSS、JS、圖片等靜態或公用檔案)儲存於本地。一旦檔案被緩衝,後續來自同一地區的使用者請求相同資源時,邊緣安全加速 ESA能夠直接、迅速地提供服務,無需再次從原始伺服器拉取,從而大幅縮短回應時間,提升使用者體驗。
攻擊原理
Web緩衝中毒攻擊,緩衝中毒攻擊使用 HTTP 要求誘使源 Web 服務器使用與正常請求具有相同緩衝鍵的有害資源進行響應。結果,中毒資源被緩衝並提供給其他使用者。
在緩衝中毒攻擊中,惡意使用者通過精心設計的HTTP請求,誘使來源站點產生一個中毒版本的檔案,該檔案的index.html緩衝鍵與無害請求相同,此檔案可能會被緩衝並提供給客戶。
緩衝欺騙防禦工作原理
開啟了緩衝欺騙防禦功能之後,用戶端請求某個資源時,ESA會校正請求URL中的檔案尾碼對應的content-type和來源站點回應檔的content-type,如果校正結果不一致,則ESA不會緩衝該資源。
例如:用戶端請求資源http://www.example.com/index.html 。
來源站點響應了檔案內容index.html,並且攜帶content-type:text/html,那麼ESA會檢測到與預期的content-type:text/html 一致,ESA會緩衝該資源。
來源站點響應了檔案內容index.html,並且攜帶content-type:text/plain,那麼ESA會檢測到與預期的content-type:text/html 不一致,ESA不會緩衝該資源。
啟用緩衝欺騙防禦
相關文檔
規則相關的功能,在生效優先順序、可重新進入性、生效顆粒度這三個特性上存在差異,詳細情況請查看規則相關功能的特性說明。