Cache Poisoning: ওয়েব সার্ভারের ক্যাশে মেমোরি ম্যানিপুলেট করে ইউজারদের বিভ্রান্ত করা!

Cache Poisoning বুঝতে হলে প্রথমে ক্যাশিং প্রক্রিয়া বুঝতে হবে। যখন একটি ব্যবহারকারী একটি URL রিকোয়েস্ট করেন, ক্যাশ সার্ভার প্রথমে দেখে সেই URL-এর জন্য কোনো সংরক্ষিত প্রতিক্রিয়া আছে কিনা। যদি থাকে এবং তা এখনো ফ্রেশ থাকে (Cache Hit), সরাসরি সেটি পরিবেশন করা হয়। না থাকলে (Cache Miss), মূল সার্ভার থেকে কনটেন্ট আনা হয়, সেটি ক্যাশে সংরক্ষণ করা হয়, এবং ব্যবহারকারীকে পাঠানো হয়।

প্রতিটি ক্যাশড রিসোর্স একটি Cache Key দ্বারা শনাক্ত হয়। সাধারণত Cache Key তৈরি হয় HTTP মেথড, হোস্ট এবং পাথ থেকে। কিন্তু এখানেই মূল সমস্যা—অনেক অন্যান্য প্যারামিটার (যেমন কুকি, হেডার, কোয়েরি প্যারামিটার) ক্যাশ কী-এর অংশ নয়, কিন্তু সার্ভারের প্রতিক্রিয়াকে প্রভাবিত করে। এই পার্থক্যকেই আক্রমণকারীরা কাজে লাগান।

PortSwigger-এর গবেষক James Kettle ২০১৮ সালে "Practical Web Cache Poisoning" শীর্ষক যুগান্তকারী গবেষণা প্রকাশ করেন। তিনি দেখান যে আক্রমণটি দুটি ধাপে কাজ করে। প্রথম ধাপ হলো Unkeyed Input শনাক্ত করা—এমন ইনপুট যা ক্যাশ কী-তে অন্তর্ভুক্ত নয় কিন্তু প্রতিক্রিয়াকে প্রভাবিত করে। দ্বিতীয় ধাপ হলো সেই ইনপুট ব্যবহার করে এমন একটি দূষিত প্রতিক্রিয়া তৈরি করা যা ক্যাশে সংরক্ষিত হবে এবং পরবর্তী ব্যবহারকারীদের পরিবেশিত হবে।

Unkeyed Input-এর সবচেয়ে সাধারণ উদাহরণ হলো HTTP Header। যেমন X-Forwarded-Host, X-Forwarded-Scheme, X-Host-এর মতো হেডার অনেক অ্যাপ্লিকেশন ব্যবহার করে URL তৈরি করতে। আক্রমণকারী যদি এই হেডারে দূষিত মান পাঠান এবং সেটি প্রতিক্রিয়ায় প্রতিফলিত হয়, এবং প্রতিক্রিয়াটি ক্যাশ হয়—তাহলে পরবর্তী সব ব্যবহারকারী সেই দূষিত মান দেখবেন।

প্রথম প্রকার আক্রমণ হলো Standard Cache Poisoning, যেখানে একটি Unkeyed Header অপব্যবহার করা হয়। উদাহরণস্বরূপ, একটি সাইট যদি X-Forwarded-Host হেডারের মান <meta> ট্যাগে রাখে, আক্রমণকারী এই হেডারে attacker.com"><script>alert(1)</script> পাঠাতে পারেন। সফল হলে সেই প্রতিক্রিয়া ক্যাশ হবে এবং সব ব্যবহারকারীর কাছে XSS পেলোড পরিবেশিত হবে।

দ্বিতীয় প্রকার হলো Cache Key Normalization Issues। ক্যাশ সাধারণত URL নর্মালাইজ করে—/page এবং /page#test একই কী দিতে পারে। কিন্তু সার্ভার এই দুটিকে ভিন্নভাবে হ্যান্ডেল করতে পারে, যা শোষণযোগ্য পরিস্থিতি তৈরি করে।

তৃতীয় প্রকার হলো Cache Key Injection। যখন কোয়েরি প্যারামিটার ক্যাশ কী-এর অংশ কিন্তু এনকোডিং সঠিকভাবে হ্যান্ডেল করা হয় না, আক্রমণকারী ইউনিকোড নর্মালাইজেশন বা ডাবল URL এনকোডিং ব্যবহার করে কী-তে পেলোড ইনজেক্ট করতে পারেন।

চতুর্থ এবং সবচেয়ে অত্যাধুনিক প্রকার হলো Cache Deception, যেখানে আক্রমণকারী একটি ডাইনামিক পেজকে স্ট্যাটিক হিসেবে ক্যাশ করিয়ে নেন। উদাহরণস্বরূপ, /account/info.jpg URL-এর info.jpg অংশ ক্যাশ সার্ভারকে ভাবাতে পারে এটি একটি স্ট্যাটিক ইমেজ, কিন্তু ব্যাকএন্ড হয়তো /account/info রুট হ্যান্ডেল করে অ্যাকাউন্ট তথ্য ফেরত দেয়।

প্রতিটি বড় CDN-এ অতীতে কোনো না কোনো Cache Poisoning দুর্বলতা প্রকাশিত হয়েছে। Cloudflare-এর cf-connecting-ip হেডার, Akamai-এর X-Forwarded-Host, এবং Fastly-এর VCL মিসকনফিগারেশন—সবগুলোই বিভিন্ন সময়ে সমস্যার কারণ হয়েছে।

বিশেষ উল্লেখযোগ্য একটি গবেষণা হলো "Web Cache Entanglement" যেখানে দেখানো হয় ভিন্ন ভিন্ন ক্যাশিং স্তরের মধ্যে নর্মালাইজেশনের পার্থক্য কীভাবে শোষণ করা যায়। যখন একটি Frontend Cache এবং একটি Backend Cache ভিন্নভাবে রিকোয়েস্ট পার্স করে, তখন একটিতে এমন কনটেন্ট সংরক্ষিত হতে পারে যা অন্যটি প্রত্যাশা করেনি।

ধরা যাক একটি ই-কমার্স সাইটের লগইন পেজ /login-এ আছে এবং পেজটি X-Forwarded-Host হেডার থেকে নেওয়া হোস্ট দিয়ে একটি <link rel="canonical"> ট্যাগ তৈরি করে। সাধারণ অবস্থায় এটি <link rel="canonical" href="https://shop.com/login"> হবে।

আক্রমণকারী একটি রিকোয়েস্ট পাঠান:

GET /login HTTP/1.1
Host: shop.com
X-Forwarded-Host: evil.com

সার্ভার এই হেডার ব্যবহার করে প্রতিক্রিয়া তৈরি করে:

<link rel="canonical" href="https://evil.com/login">

যদি এই প্রতিক্রিয়া ক্যাশ হয় এবং X-Forwarded-Host ক্যাশ কী-এর অংশ না হয়, পরবর্তী সব ব্যবহারকারী এই দূষিত canonical লিঙ্ক দেখবেন। যদি ক্যানোনিক্যাল ট্যাগের পরিবর্তে একটি JavaScript ফাইলের src অ্যাট্রিবিউট প্রভাবিত হয়, এটি স্থায়ী XSS-এ পরিণত হয়।

PortSwigger Burp Suite-এর Param Miner এক্সটেনশন Cache Poisoning শনাক্তে সবচেয়ে কার্যকর টুল। এটি স্বয়ংক্রিয়ভাবে সম্ভাব্য Unkeyed Header খুঁজে বের করে এবং প্রতিটির প্রভাব পরীক্ষা করে।

ম্যানুয়াল পরীক্ষার সময় গবেষকরা প্রতিটি রিকোয়েস্টে একটি cache-buster যোগ করেন (যেমন ?cb=randomvalue) যাতে অন্য ব্যবহারকারীদের ক্ষতি না করে পরীক্ষা চালানো যায়। সফল আক্রমণ নিশ্চিতের জন্য X-Cache: HIT এবং Age: হেডার পরীক্ষা করা হয়।

দায়িত্বশীল গবেষণায় আক্রমণকারী একটি কী আবিষ্কারের পর সাথে সাথে ক্যাশ Purge করেন বা স্বল্প TTL-যুক্ত পেজ ব্যবহার করেন যাতে দূষণ স্বল্পস্থায়ী হয়।

২০২১ সালে GitHub Pages-এ একটি Cache Poisoning দুর্বলতা পাওয়া যায় যেখানে আক্রমণকারী অন্য ব্যবহারকারীদের পেজে ত্রুটি বার্তা পরিবেশন করতে পারতেন। ২০২০ সালে Drupal CMS-এ এমন একটি সমস্যা পাওয়া যায় যা বহু সাইটকে প্রভাবিত করেছিল।

Cache Poisoning-এর সবচেয়ে ভয়ংকর প্রভাব হলো এর স্কেল। একটি সফল আক্রমণ লক্ষ লক্ষ ব্যবহারকারীকে একসাথে প্রভাবিত করতে পারে। যদি দূষিত প্রতিক্রিয়ায় ক্ষতিকর JavaScript থাকে, এটি ব্যাপক হারে সেশন টোকেন চুরি, ক্রিপ্টোমাইনার ইনজেকশন, অথবা ফিশিং পেজে রিডাইরেক্ট ঘটাতে পারে।

সবচেয়ে মৌলিক প্রতিরোধ হলো Unkeyed Input কখনো প্রতিক্রিয়ায় প্রতিফলিত না করা। যদি X-Forwarded-Host ব্যবহার করতেই হয়, সেটি ক্যাশ কী-এর অংশ করুন। ভ্যারির্নেস হেডার Vary: সঠিকভাবে কনফিগার করুন।

দ্বিতীয়ত, অযাচিত হেডার মূল সার্ভারে পৌঁছানোর আগে ফায়ারওয়াল বা প্রক্সি স্তরে অপসারণ করুন। তৃতীয়ত, ডাইনামিক কনটেন্ট ক্যাশ করার আগে নিশ্চিত করুন যে প্রতিক্রিয়াটি ব্যবহারকারী-নির্দিষ্ট তথ্য থেকে মুক্ত।

চতুর্থত, Cache Deception প্রতিরোধে নিশ্চিত করুন যে শুধু প্রকৃত স্ট্যাটিক রিসোর্স (যেমন .css, .js, .png) ক্যাশ হবে, যা ব্যাকএন্ড সার্ভারের MIME টাইপ ভেরিফিকেশনের উপর নির্ভর করে নয়।

পঞ্চমত, Cache TTL সংক্ষিপ্ত রাখুন যাতে কোনো দূষণ হলেও তা দীর্ঘস্থায়ী না হয়। ষষ্ঠত, Cache Purging-এর জন্য একটি দ্রুত কর্মপ্রবাহ থাকা উচিত যাতে দুর্বলতা আবিষ্কার হলে সাথে সাথে ক্যাশ পরিষ্কার করা যায়।

CDN পর্যায়ে Cloudflare Cache Rules, AWS CloudFront Behaviors, Fastly VCL—সবগুলোই কনফিগার করে নিশ্চিত করুন কোন কোন হেডার ও প্যারামিটার ক্যাশ কী-এর অংশ। Cache-Control: private এবং no-store সংবেদনশীল পেজে যোগ করুন।

নিয়মিত পেনিট্রেশন টেস্টিং এবং Bug Bounty প্রোগ্রামে এই শ্রেণীর দুর্বলতা অন্তর্ভুক্ত করা উচিত। আধুনিক DAST (Dynamic Application Security Testing) টুল কিছু Cache Poisoning শনাক্ত করতে পারে কিন্তু ম্যানুয়াল গবেষণা এখনো অপরিহার্য।