Web cache deception คำว่า Deception แปลว่าหลอกลวง ประมาณหลุมพราง กับดัก
Web cache deception ก็จะหมายถึงเว็บที่เป็นกับดัก หลุมพรางที่หากเหยื่อเข้ามาแล้ว อาจจะถูกเก็บ Cache ของข้อมูลที่ Sensitive ไว้ที่กับดักนั้น แล้ว attacker ก็มาเอาข้อมูลไปทีหลัง
การโจมตี Web cache มีอยู่ 2 คำที่ได้ยินกันคือ
Web cache poisoning และ Web cache deception
มีความแตกต่างกัน
Web cache poisioning : poisoning คือวางยาพิษ เช่น ทำให้ Cache เป็นคำส่งโจมตี ที่เมื่อเหยื่อมาเรียกเขาแล้วโดนโจมตี เช่น XSS ขโมย session
Web cache deception : เป็นกับดัก ที่เหย่ื่อเข้ามาแล้วถูกดักข้อมูลสำคัญส่วนตัวไว้ เก็บไว้ที่ Cache ซึ่งปกติไม่เก็บ แล้ว Attacker ก็แวะมาเอาข้อมูลนั้น เช่น เก็บ Key, password, token, session
เกิดได้อย่างไร
ตัวอย่างนึงที่ทำให้เกิดได้คือการประมวลผล ตีความ ทำงานที่ต่างกันในแต่ละ layer
เช่น
user <---> middle <---> web server
middle คือตัวกลาง ที่ทำหน้าที่เก็บ Cache
web server ก็ server หลังบ้าง