A Methodology for Web Cache Deception Vulnerability discovery

Berto, F.; Minetti, F.; Ardagna, C.A.; Anisetti, M.

doi:10.5220/0012692000003711

In recent years, the use of caching techniques in web applications has increased significantly, in line with their expanding user base. The logic of web caches is closely tied to the application logic, and misconfigurations can lead to security risks, including the unauthorized access of private information and session hijacking. In this study, we examine Web Cache Deception as a technique for attacking web applications. We develop a solution for discovering vulnerabilities that expands upon and encompasses prior research in the field. We conducted an experimental evaluation of the attack's efficacy against real-world targets, and present a new attack vector via web-client-based email services.

A Methodology for Web Cache Deception Vulnerability discovery / F. Berto, F. Minetti, C.A. Ardagna, M. Anisetti - In: Proceedings of the 14th International Conference on Cloud Computing and Services Science CLOSER. 1 / [a cura di] M. van Steen, C. Pahl. - [s.l] : SciTePress, 2024 May 02. - ISBN 978-989-758-701-6. - pp. 231-238 (( Intervento presentato al 14. convegno CLOSER tenutosi a Angers nel 2024 [10.5220/0012692000003711].

A Methodology for Web Cache Deception Vulnerability discovery

F. Berto;Francesco Minetti;C.A. Ardagna;M. Anisetti

2024

Abstract

In recent years, the use of caching techniques in web applications has increased significantly, in line with their expanding user base. The logic of web caches is closely tied to the application logic, and misconfigurations can lead to security risks, including the unauthorized access of private information and session hijacking. In this study, we examine Web Cache Deception as a technique for attacking web applications. We develop a solution for discovering vulnerabilities that expands upon and encompasses prior research in the field. We conducted an experimental evaluation of the attack's efficacy against real-world targets, and present a new attack vector via web-client-based email services.

Scheda breve

Scheda completa

Scheda completa (DC)

	Presenza di coautori internazionali
	
				No
			
	Lingua del contributo
	
				English
			
	Parole chiave
	
				Web Cache Deception; Web Cache; Web Security
			
	Settori scientifico-disciplinari del contributo
	
				Settore INF/01 - Informatica
			
	Tipo
	
				Intervento a convegno
			
	Revisione (peer review)
	
				Esperti anonimi
			
	Classificazione della pubblicazione
	
				Pubblicazione scientifica
			
	Titolo del progetto
	
	Titolo Progetto
	
									MUSA - Multilayered Urban Sustainability Actiona
								
	Acronimo
	
									MUSA
								
	Nome finanziatore
	
										MINISTERO DELL'UNIVERSITA' E DELLA RICERCA
									
	Titolo Progetto
	
									SEcurity and RIghts in the CyberSpace (SERICS)
								
	Acronimo
	
									SERICS
								
	Nome finanziatore
	
										MINISTERO DELL'UNIVERSITA' E DELLA RICERCA
									
	N. Contratto
	
									codice identificativo PE00000014
								
	Titolo Progetto
	
									Sovereign Edge-Hub: un’architettura cloud-edge per la sovranità digitale nelle scienze della vita (SOV-EDGE-HUB)Linea Strategica 4 - Sicurezza informatica/Cloud
								
	Acronimo
	
									SOV-EDGE-HUB
								
	Nome finanziatore
	
										UNIVERSITA' DEGLI STUDI DI MILANO
									
	Titolo del volume
	
				Proceedings of the 14th International Conference on Cloud Computing and Services Science CLOSER. 1
			
	Curatori del volume
	
				M. van Steen, C. Pahl
			
	Editore
	
				SciTePress
			
	Data di pubblicazione
	
				2-mag-2024
			
	Pagina iniziale
	
				231
			
	Pagina finale
	
				238
			
	Numero di pagine
	
				8
			
	ISBN
	
				978-989-758-701-6
			
	Tipo di volume
	
				Volume a diffusione internazionale
			
	Nome del convegno
	
				CLOSER
			
	Luogo del convegno
	
				Angers
			
	Anno del convegno
	
				2024
			
	Numero del convegno
	
				14
			
	DOI
	
				https://dx.doi.org/10.5220/0012692000003711
			
	URL
	
				https://www.scitepress.org/Documents/2024/126920/
			
	Banca dati sorgente
	
				manual
			
	Identificativo SCOPUS
	
				2-s2.0-85194200418
			
	Adesione alla policy Open Access di Ateneo
	
				Aderisco
			
	Tutti gli autori
	
						F. Berto, F. Minetti, C.A. Ardagna, M. Anisetti
					
	Tipologia
	
				Book Part (author)
			
	Fulltext
	
				open
			
	Tipologia sito docente
	
				273
			
	Citazione
	
				A Methodology for Web Cache Deception Vulnerability discovery / F. Berto, F. Minetti, C.A. Ardagna, M. Anisetti - In: Proceedings of the 14th International Conference on Cloud Computing and Services Science CLOSER. 1 / [a cura di] M. van Steen, C. Pahl. - [s.l] : SciTePress, 2024 May 02. - ISBN 978-989-758-701-6. - pp. 231-238 (( Intervento presentato al 14. convegno CLOSER tenutosi a Angers nel 2024 [10.5220/0012692000003711].
			
	Tipologia
	
				info:eu-repo/semantics/bookPart
			
	Numero autori
	
				4
			
	Tipologia
	
				Prodotti della ricerca::03 - Contributo in volume
			
	Appare nelle tipologie:
	
				03 - Contributo in volume

File in questo prodotto:

File	Dimensione	Formato
CLOSER_2024_36_CR (1).pdf accesso aperto Tipologia: Pre-print (manoscritto inviato all'editore) Dimensione 250.58 kB Formato Adobe PDF Visualizza/Apri	250.58 kB	Adobe PDF	Visualizza/Apri

Pubblicazioni consigliate

I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/2434/1045070

Citazioni

ND

0

ND

IRIS Institutional Research Information System - AIR Archivio Istituzionale della Ricerca