SlideShare a Scribd company logo

Extended summary of "Cached and Confused: Web Cache Deception in the Wild"

Download as PPTX, PDF
M
MarcoSanteramo

Slides di presentazione per il tema:"Cached and Confused: Web Cache Deception in the Wild"

Internet
1 of 9
Summary of « Cached and Confused: Web Cache Deception in the Wild » Laureando: Marco Santeramo Relatore: Alberto Bartoli Anno Accademico 2019 - 2020 Università degli Studi di Trieste Dipartimento di Ingegneria ed Architettura Laurea Triennale in Ingegneria Elettronica ed Informatica
INTRODUZIONE  Negli ultimi decenni la condivisione dei contenuti è in rapida espansione  Lato Client: Riduzione latenza, aumento banda  Web Cache: - Memoria condivisa accessibile più utenti - Inadatto a informazioni protette  Lato Web Server: Accessibilità globale, capillare, rapida  Nascita delle Content Delivery Networks 2MARCO SANTERAMO
CONTENT DELIVERY NETWORK  Una CDN è una struttura a rete basata sulle web caches  Reverse Caching Proxies: implementano tecnologia di caching  Immagazzinamento risposte HTTP in transito  Risposta immediata per richieste HTTP future di altri utenti  Problema: processo decisionale di caching tramite analisi URL  Conseguenza: Violazione standard HTTP  Perdita sicurezza 3MARCO SANTERAMO
ATTACCO WCD I 1. Analisi e interpretazione URL:  Web Server implementa URL Rewriting  RCP implementa processo finalizzato al caching  Path Confusion: RCP e WS interpretano in modo differente le URL 2. Web Server risponde indipendentemente da interpretazione URL MARCO SANTERAMO 4
ATTACCO WCD II 5MARCO SANTERAMO E se «account.php» contenesse informazioni protette?
METODOLOGIA 6MARCO SANTERAMO
RISULTATI  8,5% dei siti vulnerabile  Decine di milioni di utenti a rischio  Studi statistici:  Successo dell’attacco indipendente da popolarità  Autenticazione non fornisce protezione aggiuntiva  Vulnerabilità:  Informazioni Personali (Nome, Peso, Altezza, Dati Finanziari etc.)  API / CSRF Tokens  Identificatori di sessione MARCO SANTERAMO 7
CONCLUSIONI  Potenziale vulnerabilità ad attacchi più invasivi  Soluzioni per gestori Web Server:  Visione olistica del sistema  Rispetto dello standard HTTP  I risultati esprimono le basi delle potenzialità dell’attacco WCD 8MARCO SANTERAMO
9MARCO SANTERAMO GRAZIE PER L’ATTENZIONE

Recommended

2 - Introduzione a Internet (1/2) - 16/17
2 - Introduzione a Internet (1/2) - 16/172 - Introduzione a Internet (1/2) - 16/17
2 - Introduzione a Internet (1/2) - 16/17
Giuseppe Vizzari
 
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
RiccardoDeMonte
 
02 - Introduzione a Internet (I)
02 - Introduzione a Internet (I)02 - Introduzione a Internet (I)
02 - Introduzione a Internet (I)
Giuseppe Vizzari
 
2 - Introduzione a Internet (1/2) - 17/18
2 - Introduzione a Internet (1/2) - 17/182 - Introduzione a Internet (1/2) - 17/18
2 - Introduzione a Internet (1/2) - 17/18
Giuseppe Vizzari
 
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Alessandro Umek
 
Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19
Giuseppe Vizzari
 
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Anna Stramaglia
 
2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)
Giuseppe Vizzari
 

Recommended

2 - Introduzione a Internet (1/2) - 16/17
2 - Introduzione a Internet (1/2) - 16/172 - Introduzione a Internet (1/2) - 16/17
2 - Introduzione a Internet (1/2) - 16/17
Giuseppe Vizzari
 
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...Extended summary of “Understanding the Performance Costs and Benefits of Pri...
Extended summary of “Understanding the Performance Costs and Benefits of Pri...
RiccardoDeMonte
 
02 - Introduzione a Internet (I)
02 - Introduzione a Internet (I)02 - Introduzione a Internet (I)
02 - Introduzione a Internet (I)
Giuseppe Vizzari
 
2 - Introduzione a Internet (1/2) - 17/18
2 - Introduzione a Internet (1/2) - 17/182 - Introduzione a Internet (1/2) - 17/18
2 - Introduzione a Internet (1/2) - 17/18
Giuseppe Vizzari
 
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Alessandro Umek
 
Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19
Giuseppe Vizzari
 
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Progettazione e sviluppo del modulo di gestione e analisi dei biosegnali all'...
Anna Stramaglia
 
2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)
Giuseppe Vizzari
 
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LENMS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
LEN Learning Education Network
 
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
MarcoSanteramo
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Francesco Foresta
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
delfinostefano
 
Reliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution InfrastructureReliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution Infrastructure
Paolo Maresca
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
AndreaMajcen
 
Dropbox Forensics Analysis
Dropbox Forensics AnalysisDropbox Forensics Analysis
Dropbox Forensics Analysis
Alessandro Della Rocca
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
Marco Vaiano
 
Web Application Security Testing
Web Application Security TestingWeb Application Security Testing
Web Application Security Testing
Filippo Maria Raeli
 
Mecarelli
MecarelliMecarelli
MecarelliGoWireless
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
TiborRacman
 
Internet Exchange Point
Internet Exchange PointInternet Exchange Point
Internet Exchange Point
steccami
 
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Francesco Occhioni
 
2 .Introduzione a internet
2 .Introduzione a internet2 .Introduzione a internet
2 .Introduzione a internet
Roberto Polillo
 
I cms e la legge Stanca
I cms e la legge StancaI cms e la legge Stanca
I cms e la legge Stanca
Gianluigi Cogo
 
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Lorenzo Sfarra
 
Named data networking
Named data networkingNamed data networking
Named data networking
namedatanetworking
 
Java Network Programming
Java Network ProgrammingJava Network Programming
Java Network Programming
Stefano Sanna
 
Convegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI SabrinaConvegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI Sabrina
Servizi a rete
 
presentazione_Lelli_final
presentazione_Lelli_finalpresentazione_Lelli_final
presentazione_Lelli_finalMatteo Lelli
 

More Related Content

Similar to Extended summary of "Cached and Confused: Web Cache Deception in the Wild"

MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LENMS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
LEN Learning Education Network
 
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
MarcoSanteramo
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Francesco Foresta
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
delfinostefano
 
Reliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution InfrastructureReliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution Infrastructure
Paolo Maresca
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
AndreaMajcen
 
Dropbox Forensics Analysis
Dropbox Forensics AnalysisDropbox Forensics Analysis
Dropbox Forensics Analysis
Alessandro Della Rocca
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
Marco Vaiano
 
Web Application Security Testing
Web Application Security TestingWeb Application Security Testing
Web Application Security Testing
Filippo Maria Raeli
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
TiborRacman
 
Internet Exchange Point
Internet Exchange PointInternet Exchange Point
Internet Exchange Point
steccami
 
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Francesco Occhioni
 
2 .Introduzione a internet
2 .Introduzione a internet2 .Introduzione a internet
2 .Introduzione a internet
Roberto Polillo
 
I cms e la legge Stanca
I cms e la legge StancaI cms e la legge Stanca
I cms e la legge Stanca
Gianluigi Cogo
 
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Lorenzo Sfarra
 
Named data networking
Named data networkingNamed data networking
Named data networking
namedatanetworking
 
Java Network Programming
Java Network ProgrammingJava Network Programming
Java Network Programming
Stefano Sanna
 
Convegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI SabrinaConvegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI Sabrina
Servizi a rete
 
presentazione_Lelli_final
presentazione_Lelli_finalpresentazione_Lelli_final
presentazione_Lelli_finalMatteo Lelli
 

Similar to Extended summary of "Cached and Confused: Web Cache Deception in the Wild" (20)

MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LENMS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
MS VISUAL STUDIO 2003 - Developing secure web applications - Schedea corso LEN
 
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
 
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimedialiLo standard MPEG-7 per la definizione di metadati di oggetti multimediali
Lo standard MPEG-7 per la definizione di metadati di oggetti multimediali
 
Reliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution InfrastructureReliable And Timely Multipoint Distribution Infrastructure
Reliable And Timely Multipoint Distribution Infrastructure
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...
 
Dropbox Forensics Analysis
Dropbox Forensics AnalysisDropbox Forensics Analysis
Dropbox Forensics Analysis
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
 
Web Application Security Testing
Web Application Security TestingWeb Application Security Testing
Web Application Security Testing
 
Mecarelli
MecarelliMecarelli
Mecarelli
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
 
Internet Exchange Point
Internet Exchange PointInternet Exchange Point
Internet Exchange Point
 
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
Predizione di malfunzionamenti in reti di telecomunicazioni con tecniche di m...
 
2 .Introduzione a internet
2 .Introduzione a internet2 .Introduzione a internet
2 .Introduzione a internet
 
I cms e la legge Stanca
I cms e la legge StancaI cms e la legge Stanca
I cms e la legge Stanca
 
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
 
Named data networking
Named data networkingNamed data networking
Named data networking
 
Java Network Programming
Java Network ProgrammingJava Network Programming
Java Network Programming
 
Convegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI SabrinaConvegno 23/11 | COLLI Sabrina
Convegno 23/11 | COLLI Sabrina
 
presentazione_Lelli_final
presentazione_Lelli_finalpresentazione_Lelli_final
presentazione_Lelli_final
 

Extended summary of "Cached and Confused: Web Cache Deception in the Wild"

  • 1. Summary of « Cached and Confused: Web Cache Deception in the Wild » Laureando: Marco Santeramo Relatore: Alberto Bartoli Anno Accademico 2019 - 2020 Università degli Studi di Trieste Dipartimento di Ingegneria ed Architettura Laurea Triennale in Ingegneria Elettronica ed Informatica
  • 2. INTRODUZIONE  Negli ultimi decenni la condivisione dei contenuti è in rapida espansione  Lato Client: Riduzione latenza, aumento banda  Web Cache: - Memoria condivisa accessibile più utenti - Inadatto a informazioni protette  Lato Web Server: Accessibilità globale, capillare, rapida  Nascita delle Content Delivery Networks 2MARCO SANTERAMO
  • 3. CONTENT DELIVERY NETWORK  Una CDN è una struttura a rete basata sulle web caches  Reverse Caching Proxies: implementano tecnologia di caching  Immagazzinamento risposte HTTP in transito  Risposta immediata per richieste HTTP future di altri utenti  Problema: processo decisionale di caching tramite analisi URL  Conseguenza: Violazione standard HTTP  Perdita sicurezza 3MARCO SANTERAMO
  • 4. ATTACCO WCD I 1. Analisi e interpretazione URL:  Web Server implementa URL Rewriting  RCP implementa processo finalizzato al caching  Path Confusion: RCP e WS interpretano in modo differente le URL 2. Web Server risponde indipendentemente da interpretazione URL MARCO SANTERAMO 4
  • 5. ATTACCO WCD II 5MARCO SANTERAMO E se «account.php» contenesse informazioni protette?
  • 7. RISULTATI  8,5% dei siti vulnerabile  Decine di milioni di utenti a rischio  Studi statistici:  Successo dell’attacco indipendente da popolarità  Autenticazione non fornisce protezione aggiuntiva  Vulnerabilità:  Informazioni Personali (Nome, Peso, Altezza, Dati Finanziari etc.)  API / CSRF Tokens  Identificatori di sessione MARCO SANTERAMO 7
  • 8. CONCLUSIONI  Potenziale vulnerabilità ad attacchi più invasivi  Soluzioni per gestori Web Server:  Visione olistica del sistema  Rispetto dello standard HTTP  I risultati esprimono le basi delle potenzialità dell’attacco WCD 8MARCO SANTERAMO