Istraživači su otkrili sofisticiranu metodu za zaobilaženje zaštite Politike sigurnosti sadržaja (CSP) kombiniranjem HTML injekcije i manipulacije predmemorijom pretraživača. Ovaj pristup iskorištava interakciju između CSP implementacija temeljenih na nonce-vrijednostima i mehanizama predmemorije pretraživača, specifično ciljajući back/forward cache (bfcache) i disk cache sisteme. Kroz ovu tehniku, napadači mogu zaobići jedan od najvažnijih sigurnosnih mehanizama na webu, potencijalno izlažući brojne web aplikacije napadima križnog skriptiranja (XSS) koji su se smatrali zaštićenima.
Metodologija napada, prema izvještaju Joriana Woltjera, usredotočuje se na iskorištavanje ponovne upotrebe CSP nonce-vrijednosti putem mehanizama predmemorije pretraživača. Višestupanjski pristup započinje CSS injekcijom radi curenja nonce-vrijednosti iz ciljne aplikacije. Ova tehnika koristi CSS selektore atributa za izdvajanje nonce-vrijednosti iz meta tagova koji sadrže CSP zaglavlja. Tim istraživača otkrio je da, iako su nonce atributi u script tagovima zaštićeni od CSS selektora iz sigurnosnih razloga, iste vrijednosti koje se reflektuju u sadržaju meta tagova ostaju dostupne. To omogućava napadačima sistematsko curenje nonce-vrijednosti koristeći CSS injekcijske tehnike koje generiraju višestruke pozadinske zahtjeve, efektivno rekonstruirajući potpunu nonce kroz preklapajuće sekvence znakova.
Napad također koristi ranjivosti križnog upita za lažiranje zahtjeva (CSRF) za ažuriranje ubrizganog tereta uz zadržavanje pristupa prethodno procurjeloj nonce-vrijednosti. Iskorištavanjem nedostatka CSRF zaštite na ulaznoj točki za prijavu, napadači mogu izmijeniti pohranjeni teret putem slanja obrazaca. Proboj se sastoji u manipulaciji particioniranjem predmemorije preglednika i interakcijom između bfcache-a i disk cache-a. Kada uvjeti za bfcache ne budu ispunjeni, kao što je održavanje referenci na prozor, preglednik se vraća na disk cache, koji čuva originalnu stranicu s poznatom nonce-vrijednošću, a istovremeno dopušta ažuriranja dinamičkog sadržaja. Istraživači su identificirali da se unosi u cache ključiraju pomoću Network Isolation Keys, koje se sastoje od web lokacije na najvišoj razini i web lokacije trenutnog okvira, omogućujući selektivnu manipulaciju cache-om.
Podvig zahtijeva precizno tempiranje i upravljanje predmemorijom, koristeći različite URL parametre za kreiranje zasebnih unosa u predmemoriju. Tehnika uključuje učitavanje ciljne stranice s jedinstvenim parametrom (/dashboard?xss), curenje nonce-vrijednosti, ažuriranje tereta putem CSRF-a, učitavanje iste ulazne točke bez parametara radi ažuriranja predmemorije profila, te na kraju navigaciju natrag kako bi se pokrenula predmemorirana stranica s novim teretom. Ovo istraživanje otkriva značajne implikacije za sigurnost web aplikacija, budući da se mnoge aplikacije oslanjaju na CSP baziran na nonce-vrijednostima kao primarnu odbranu protiv XSS napada. Tehnika funkcionira na modernim preglednicima i zahtijeva samo dva preduvjeta: mogućnost curenja nonce-vrijednosti putem HTML injekcije i odvojene mehanizme isporuke tereta. Sigurnosni stručnjaci sada moraju uzeti u obzir ponašanje predmemorije prilikom implementacije CSP zaštite, potencijalno zahtijevajući dodatne zaštitne mjere kao što su zaglavlja za kontrolu predmemorije i poboljšane strategije generiranja nonce-vrijednosti koje uzimaju u obzir mehanizme predmemorije preglednika.
