<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutumia mifumo ya kazi** kwa kutumia zana za **jamii ya juu zaidi** ulimwenguni.\
> * Katika **kufyonza cache ya wavuti**, mkaidi husababisha programu kuhifadhi baadhi ya maudhui mabaya kwenye cache, na maudhui haya hutolewa kutoka kwenye cache kwa watumiaji wengine wa programu.
> * Katika **udanganyifu wa cache ya wavuti**, mkaidi husababisha programu kuhifadhi baadhi ya maudhui nyeti yanayomilikiwa na mtumiaji mwingine kwenye cache, na mkaidi kisha anapata maudhui haya kutoka kwenye cache.
Kufyonza cache inalenga kubadilisha cache upande wa mteja ili kulazimisha wateja kupakia rasilimali ambazo si za kawaida, sehemu, au chini ya udhibiti wa mkaidi. Upeo wa athari unategemea umaarufu wa ukurasa ulioathiriwa, kwani jibu lililochafuliwa hutolewa kwa watumiaji wanaotembelea ukurasa wakati wa kufyonza cache.
1.**Ugunduzi wa Vipengele Visivyo na Kichwa**: Hivi ni vipengele ambavyo, ingawa havihitajiki kwa ombi kuhifadhiwa kwenye cache, vinaweza kubadilisha jibu linalorudishwa na seva. Kutambua vipengele hivi ni muhimu kwani vinaweza kutumiwa kudanganya cache.
2.**Kutumia Vipengele Visivyo na Kichwa**: Baada ya kutambua vipengele visivyo na kichwa, hatua inayofuata ni kugundua jinsi ya kutumia vipengele hivi kudanganya majibu ya seva kwa njia inayonufaisha mkaidi.
3.**Kuhakikisha Jibu Lililofyonzwa Linahifadhiwa kwenye Cache**: Hatua ya mwisho ni kuhakikisha kwamba jibu lililobadilishwa limewekwa kwenye cache. Kwa njia hii, mtumiaji yeyote anayepata ukurasa ulioathiriwa wakati wa kufyonza cache atapokea jibu lililochafuliwa.
Kawaida, wakati jibu limewekwa kwenye cache kutakuwa na **kichwa kinachoonyesha hivyo**, unaweza kuangalia vichwa vipi unapaswa kutilia maanani katika chapisho hili: [**Vichwa vya Cache vya HTTP**](../network-services-pentesting/pentesting-web/special-http-headers.md#cache-headers).
Ikiwa unadhani kwamba jibu linawekwa kwenye cache, unaweza kujaribu **kutuma maombi na kichwa kibaya**, ambacho kinapaswa kujibiwa na **msimbo wa hali 400**. Kisha jaribu kupata ombi kawaida na ikiwa **jibu ni msimbo wa hali 400**, unajua kuwa ni dhaifu (na hata unaweza kufanya DoS).\
Unaweza kutumia [**Param Miner**](https://portswigger.net/bappstore/17d2949a985c4b7ca092728dba871943) kufanya **nguvu ya kutumia vigezo na vichwa** ambavyo vinaweza **kubadilisha jibu la ukurasa**. Kwa mfano, ukurasa unaweza kutumia kichwa `X-Forwarded-For` kuonyesha mteja kupakia skripti kutoka hapo:
Pamoja na kipengele/kichwa kilichotambuliwa, angalia jinsi kinavyo **safishwa** na **eneo** ambapo linakuwa linajitokeza au kuathiri majibu kutoka kwa kichwa. Je, unaweza kulitumia kwa njia yoyote (kufanya XSS au kupakia nambari ya JS inayodhibitiwa na wewe? kufanya DoS?...)
Baada ya **kutambua****ukurasa** ambao unaweza kutumiwa vibaya, ni **kipengele**/**kichwa** gani cha kutumia na **jinsi** ya **kulitumia**, unahitaji kupata ukurasa uliohifadhiwa. Kulingana na rasilimali unayojaribu kupata kwenye cache hii inaweza kuchukua muda fulani, unaweza kulazimika kujaribu kwa sekunde kadhaa.\
Kichwa cha **`X-Cache`** katika jibu linaweza kuwa na manufaa sana kwani inaweza kuwa na thamani **`miss`** wakati ombi halijahifadhiwa na thamani **`hit`** wakati linahifadhiwa.\
Kichwa cha **`Cache-Control`** pia ni cha kuvutia kujua ikiwa rasilimali inahifadhiwa na lini itahifadhiwa tena: `Cache-Control: public, max-age=1800`\
Kichwa kingine cha kuvutia ni **`Vary`**. Kichwa hiki mara nyingi hutumiwa kuonyesha vichwa vingine vinavyotambuliwa kama sehemu ya ufunguo wa cache hata kama kawaida havina ufunguo. Kwa hivyo, ikiwa mtumiaji anajua `User-Agent` wa muathiriwa anayelengwa, anaweza kudhuru cache kwa watumiaji wanaotumia `User-Agent` hiyo maalum.\
Kichwa kingine kinachohusiana na cache ni **`Age`**. Hii inaainisha nyakati kwa sekunde ambazo kitu kimekuwa kwenye cache ya proksi.
Unapohifadhi ombi, **kuwa makini na vichwa unavyotumia** kwa sababu baadhi yao yanaweza kutumika kwa njia isiyotarajiwa kama **vifunguo** na muathiriwa atahitaji kutumia kichwa hicho hicho. Daima **jaribu** Uchafuzi wa Cache na **vivinjari tofauti** kuhakikisha kuwa inafanya kazi.
Vidakuzi pia vinaweza kurejelewa kwenye jibu la ukurasa. Ikiwa unaweza kuitumia kusababisha XSS kwa mfano, unaweza kufaidika na XSS katika wateja kadhaa wanaopakia jibu la cache lenye nia mbaya.
### Kujaza cache na kufuatilia njia ili kuiba funguo ya API <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
[**Maelezo haya**](https://nokline.github.io/bugbounty/2024/02/04/ChatGPT-ATO.html) yanafafanua jinsi ilivyowezekana kuiba funguo ya API ya OpenAI kwa URL kama `https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123` kwa sababu chochote kinacholingana na `/share/*` kitahifadhiwa kwenye cache bila Cloudflare kurekebisha URL, ambayo ilifanyika wakati ombi lilipofikia seva ya wavuti.
### Kutumia vichwa vingi kufaidika na udhaifu wa kujaza cache wa wavuti <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
Maranyingi utahitaji **kufaidika na pembejeo zisizo na funguo kadhaa** ili uweze kutumia cache. Kwa mfano, unaweza kupata **urekebishaji wazi** ikiwa unaweka `X-Forwarded-Host` kwa kikoa kinachodhibitiwa na wewe na `X-Forwarded-Scheme` kuwa `http`. **Ikiwa****seva** inaendeleza **maombi yote ya HTTP** kwenda kwa HTTPS na kutumia kichwa `X-Forwarded-Scheme` kama jina la kikoa kwa urekebishaji. Unaweza kudhibiti ukurasa unapoelekezwa na urekebishaji.
Ikiwa umegundua kwamba kichwa cha **`X-Host`** kinatumika kama **jina la kikoa kusoma rasilimali ya JS** lakini kichwa cha **`Vary`** katika jibu linabainisha **`User-Agent`**. Kisha, unahitaji kupata njia ya kuchukua User-Agent wa mwathiriwa na kudhuru cache kwa kutumia user agent huo:
Jifunze hapa kuhusu jinsi ya kufanya [mashambulizi ya Kuharibu Cache kwa kudanganya Ufisadi wa Ombi la HTTP](http-request-smuggling/#using-http-request-smuggling-to-perform-web-cache-poisoning).
[Skana ya Ufisadi wa Cache ya Wavuti](https://github.com/Hackmanit/Web-Cache-Vulnerability-Scanner) inaweza kutumika kupima kiotomatiki kwa kuharibu cache ya wavuti. Inasaidia njia nyingi tofauti na inaweza kubadilishwa kwa urahisi.
Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutumia kiotomatiki** mifumo ya kazi inayotumia zana za jamii za **juu zaidi** duniani.\
ATS ilipeleka sehemu ndani ya URL bila kuiondoa na ikazalisha funguo ya cache ikitumia tu mwenyeji, njia, na swali (ikipuuza sehemu). Kwa hivyo ombi `/#/../?r=javascript:alert(1)` lilipelekwa kwa nyuma kama `/#/../?r=javascript:alert(1)` na funguo la cache halikuwa na mzigo ndani yake, tu mwenyeji, njia, na swali.
Kutuma thamani mbaya kwenye kichwa cha aina ya yaliyomo kulizua jibu lililohifadhiwa la 405. Funguo la cache lilikuwa na kuki hivyo ilikuwa inawezekana kushambulia watumiaji wasio na idhini pekee.
GitLab hutumia vikapu vya GCP kuhifadhi yaliyomo tuli. **Vikapu vya GCP** vinaweza kusaidia **kichwa `x-http-method-override`**. Kwa hivyo ilikuwa inawezekana kutuma kichwa `x-http-method-override: HEAD` na kudanganya cache kurudisha mwili wa jibu tupu. Pia inaweza kusaidia njia ya `PURGE`.
Katika maombi ya Ruby on Rails, Rack middleware mara nyingi hutumiwa. Madhumuni ya msimbo wa Rack ni kuchukua thamani ya kichwa cha **`x-forwarded-scheme`** na kuweka kama mpango wa ombi. Wakati kichwa cha `x-forwarded-scheme: http` kinatumwa, kuna mwelekeo wa 301 kwenye eneo sawa, ikisababisha uwezekano wa Kukataa Huduma (DoS) kwa rasilimali hiyo. Zaidi ya hayo, maombi yanaweza kutambua kichwa cha `X-forwarded-host` na kupeleka watumiaji kwenye mwenyeji uliowekwa. Tabia hii inaweza kusababisha kupakia faili za JavaScript kutoka kwenye seva ya mshambuliaji, ikileta hatari ya usalama.
Cloudflare hapo awali ilihifadhi majibu ya 403. Kujaribu kupata ufikiaji wa S3 au Blobs za Kuhifadhi za Azure na vichwa visivyo sahihi vya Uthibitisho kungesababisha jibu la 403 lililohifadhiwa. Ingawa Cloudflare imeacha kuhifadhi majibu ya 403, tabia hii inaweza bado kuwepo katika huduma zingine za proksi.
Marundo mara nyingi hujumuisha parameta maalum za GET katika funguo la cache. Kwa mfano, Varnish ya Fastly ilihifadhi parameta ya `size` katika maombi. Walakini, ikiwa toleo lililofungwa la parameta (k.m., `siz%65`) pia lilipelekwa na thamani isiyo sahihi, funguo la cache lingejengwa kwa kutumia parameta sahihi ya `size`. Walakini, nyuma itaprocess thamani katika parameta iliyofungwa kwa URL. Kufunga tena parameta ya pili ya `size` kuliongoza kwa kosa la Ombi Baya la 400 linaloweza kuhifadhiwa.
Baadhi ya watengenezaji wanazuia maombi na wateja wa mtumiaji wanaofanana na zana za trafiki kubwa kama FFUF au Nuclei kusimamia mzigo wa seva. Kwa kujifanya, njia hii inaweza kuleta mapungufu kama kuharibu cache na DoS.
[RFC7230](https://datatracker.ietf.mrg/doc/html/rfc7230) inabainisha wahusika halali katika majina ya vichwa. Vichwa vinavyo wahusika nje ya safu iliyowekwa ya **tchar** inapaswa kuzua jibu la Ombi Baya la 400. Kwa vitendo, seva mara nyingi hazifuati viwango hivi. Mfano muhimu ni Akamai, ambayo inapeleka vichwa na wahusika wasio halali na kuhifadhi kosa lolote la 400, ikiwa tu kichwa cha `cache-control` hakipo. Mfano wa kutumia uligunduliwa ambapo kutuma kichwa na wahusika wasio halali, kama vile `\`, kunaweza kusababisha kosa la Ombi Baya la 400 linaloweza kuhifadhiwa.
Kwanza kabisa, kumbuka kwamba **nyongeza** kama vile `.css`, `.js`, `.png` nk kawaida **imepangwa** kuwa **hifadhiwa** kwenye **cache.** Kwa hivyo, ikiwa unafikia `www.mfano.com/profile.php/nonexistent.js` cache labda itahifadhi jibu kwa sababu inaona nyongeza ya `.js`. Lakini, ikiwa **programu** inarudia na **maudhui nyeti** ya mtumiaji yaliyohifadhiwa katika _www.mfano.com/profile.php_, unaweza **kuiba** maudhui hayo kutoka kwa watumiaji wengine.
Katika mfano huo, imeelezwa kwamba ikiwa unapakia ukurasa usio na maudhui kama _http://www.mfano.com/home.php/non-existent.css_ maudhui ya _http://www.mfano.com/home.php_ (**na habari nyeti za mtumiaji**) yatarejeshwa na seva ya cache itahifadhi matokeo.\
Kisha, **mshambuliaji** anaweza kupata _http://www.mfano.com/home.php/non-existent.css_ kwenye kivinjari chao na kuchunguza **habari za siri** za watumiaji waliotembelea hapo awali.
Kumbuka kwamba **proksi ya cache** inapaswa kuwa **imepangwa** kuhifadhi faili **kulingana** na **nyongeza** ya faili (_.css_) na sio kulingana na aina ya yaliyomo. Katika mfano _http://www.mfano.com/home.php/non-existent.css_ itakuwa na aina ya yaliyomo ya `text/html` badala ya aina ya mime ya `text/css` (ambayo inatarajiwa kwa faili ya _.css_).
Jifunze hapa kuhusu jinsi ya kufanya [mashambulizi ya Uduaji wa Cache kwa kudanganya Ufisadi wa Ombi la HTTP](http-request-smuggling/#using-http-request-smuggling-to-perform-web-cache-deception).
* [**toxicache**](https://github.com/xhzeem/toxicache): Skana ya Golang ya kupata udhaifu wa kuharibu cache ya wavuti kwenye orodha ya URL na kupima njia nyingi za kuingiza.
Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutumia kiotomatiki** mifumo ya kazi inayotumia zana za jamii za **juu zaidi** duniani.\
<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
