【技术解读】【WebSec】Web Cache Deception Attack（Web缓存欺骗攻击）

前言

最近看到刷bug bounty writeup 的时候看到今年年初和去年年初分别都有一个针对OpenAI ChatGPT的两个利用Web Cache Deception 进行攻击的案例。印象中这种攻击方式最早在 2017年的 PortSwigger top 10 web hacking techniques 里看到，是 @Omer Gil 发表的一个议题。这种攻击方式在国内较少被讨论，但对于放眼全球的bug bounty hunter而言，不应被忽略。于是笔者再次温习了下这个议题，记录下要点。

技术原理

把 议题演讲者的youtube视频链接 https://www[.]youtube[.]com/watch?v=mroq9eHFOIU 扔给GPT-4的一个Youtube的GPTs，便可让它总结视频内容，并通过一问一答快速了解其技术原理，问答详情如下链接：
https://chat.openai.com/share/65cccd8b-8131-4224-ad90-9afcb23cf1c9

防御建议

Reference

https://www.youtube.com/watch?v=mroq9eHFOIU
https://omergil.blogspot.com/2017/02/web-cache-deception-attack.html
https://www.blackhat.com/docs/us-17/wednesday/us-17-Gil-Web-Cache-Deception-Attack-wp.pdf