hacktricks/pentesting-web/hacking-with-cookies/README.md

# Çerez Hacking

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong> ile sıfırdan kahraman olmak için AWS hackleme öğrenin<strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* Şirketinizi HackTricks'te **reklam vermek** veya HackTricks'i **PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) koleksiyonumuzdaki özel [**NFT'leri**](https://opensea.io/collection/the-peass-family) keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'ı takip edin**.
* **Hacking hilelerinizi** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna **PR göndererek paylaşın**.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

En önemli güvenlik açıklarını bulun ve daha hızlı düzeltebilin. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

## Çerez Özellikleri

Çerezler, kullanıcının tarayıcısındaki davranışlarını kontrol eden birkaç özellikle birlikte gelir. İşte bu özelliklerin daha pasif bir dilde açıklaması:

### Expires ve Max-Age

Bir çerezin son kullanma tarihi, `Expires` özelliği tarafından belirlenir. Bununla birlikte, `Max-age` özelliği çerezin silineceği süreyi saniye cinsinden belirler. **Daha modern uygulamaları yansıttığı için `Max-age` özelliğini tercih edin.**

### Domain

Bir çerezi alacak olan sunucular, `Domain` özelliği tarafından belirtilir. Varsayılan olarak, bu, çerezi veren sunucuya ayarlanır ve alt alan adlarını içermez. Bununla birlikte, `Domain` özelliği açıkça belirlendiğinde, alt alan adlarını da kapsar. Bu, `Domain=mozilla.org` olarak ayarlandığında, çerezlerin `developer.mozilla.org` gibi alt alan adlarında erişilebilir olmasını sağlar.

### Path

`Path` özelliği, `Cookie` başlığının gönderilmesi için istenen URL'de bulunması gereken belirli bir URL yolu belirtir. Bu özellik, `/` karakterini bir dizin ayırıcı olarak kabul eder ve alt dizinlerde eşleşmelere izin verir.

### Sıralama Kuralları

Aynı isme sahip iki çerez olduğunda, gönderilecek olan çerez şu kriterlere göre belirlenir:
- İstenen URL'deki en uzun yolu eşleştiren çerez.
- Yollar aynıysa, en son ayarlanan çerez seçilir.

### SameSite

- `SameSite` özelliği, üçüncü taraf alanlarından kaynaklanan isteklerde çerezlerin gönderilip gönderilmeyeceğini belirler. Üç ayarı vardır:
- **Strict**: Çerezi üçüncü taraf isteklerinde göndermeyi kısıtlar.
- **Lax**: Üçüncü taraf web siteleri tarafından başlatılan GET istekleriyle çerezin gönderilmesine izin verir.
- **None**: Çerezi herhangi bir üçüncü taraf alanından göndermeye izin verir.

Unutmayın, çerezleri yapılandırırken, bu özellikleri anlamak, farklı senaryolarda beklenildiği gibi davranmalarını sağlamaya yardımcı olabilir.


| **İstek Türü** | **Örnek Kod**                      | **Çerezler Gönderildiğinde** |
| -------------- | ---------------------------------- | --------------------------- |
| Link           | \<a href="...">\</a>               | NotSet\*, Lax, None         |
| Prerender      | \<link rel="prerender" href=".."/> | NotSet\*, Lax, None         |
| Form GET       | \<form method="GET" action="...">  | NotSet\*, Lax, None         |
| Form POST      | \<form method="POST" action="..."> | NotSet\*, None              |
| iframe         | \<iframe src="...">\</iframe>      | NotSet\*, None              |
| AJAX           | $.get("...")                       | NotSet\*, None              |
| Image          | \<img src="...">                   | NetSet\*, None              |

Tablo [Invicti](https://www.netsparker.com/blog/web-security/same-site-cookie-attribute-prevent-cross-site-request-forgery/) tarafından sağlanmış ve hafifçe değiştirilmiştir.\
_**SameSite**_ özelliğine sahip bir çerez, oturum gerektiren CSRF saldırılarını **önler**.

**\*Dikkat Chrome80'den (şubat/2019) itibaren, aynı site politikası olmayan bir çerezin varsayılan davranışı lax olacak** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\
Dikkat geçici olarak, bu değişiklik uygulandıktan sonra, Chrome'da **aynı site politikası olmayan çerezler** **ilk 2 dakika boyunca None** olarak **işlem görecek ve ardından üst düzey çapraz site POST isteği için Lax** olarak **işlem görecek**.

## Çerez Bayrakları

### HttpOnly

Bu, **istemcinin** çereze erişmesini engeller (Örneğin **Javascript** aracılığıyla: `document.cookie`)

#### **Atlatmalar**

* Eğer sayfa, çerezleri bir isteğin yanıtı olarak gönderiyorsa (örneğin bir **PHPinfo** sayfasında), XSS'i istismar ederek bu sayfaya bir istek gönderip yanıttaki çerezleri **çalmak** mümkün olabilir (bir örneği [https://hackcommander.github.io/posts/2022/11/12/bypass-httponly-via-php-info-page/](https://hackcommander.github.io/posts/2022/11/12/bypass-httponly-via-php-info-page/) adresinde bulabilirsiniz).
* Bu, sunucudan gelen yanıt olarak **TRACE** **HTTP** istekleri gönderen sayfaların (örneğin bu HTTP yöntemi kullanılabilirse) çerezleri yansıtmasıyla atlatılabilir. Bu teknik **Cross-Site Tracking** olarak adlandırılır.
* Bu teknik, modern tarayıcılar tarafından JS'den TRACE isteği göndermeye izin verilmeyerek engellenir. Bununla birlikte, IE6.0 SP2 gibi belirli yazılımlarda `\r\nTRACE` yerine `TRACE` göndererek bu durumu atlatan bazı yöntemler bulunmuştur.
* Başka bir yol, tarayıcıların zero/day güvenlik açıklarının istismar edilmesidir.
* Bir Çerez Kavanozu taşmasına saldırı yaparak **HttpOnly çerezlerin üzerine yazılabilir**:

{% content-ref url="cookie-jar-overflow.md" %}
[cookie-jar-overflow.md](cookie-jar-overflow.md)
{% endcontent-ref %}

* Bu çerezleri dışarı çıkarmak için [**Çerez Kaçakçılığı**](./#cookie-smuggling) saldırısı kullanılabilir

### Secure

Bu istek, çerezi yalnızca güvenli bir kanal üzerinden iletilen bir HTTP isteğinde gönderir (genellikle **HTTPS** ile).
## Çerez Önekleri

`__Secure-` ile başlayan çerezler, HTTPS ile korunan sayfalardan ayarlanması gerekmektedir.

`__Host-` ile başlayan çerezler için birkaç koşul sağlanmalıdır:
- `secure` bayrağı ile ayarlanmalıdır.
- HTTPS ile korunan bir sayfadan kaynaklanmalıdır.
- Alan adı belirtmelerine izin verilmez, bu da alt alanlara iletilmelerini engeller.
- Bu çerezlerin yolu `/` olarak ayarlanmalıdır.

Önemli bir nokta, `__Host-` ile başlayan çerezlerin süper alan adlarına veya alt alan adlarına gönderilmesine izin verilmemesidir. Bu kısıtlama, uygulama çerezlerini izole etmeye yardımcı olur. Bu nedenle, güvenliği ve izolasyonu artırmak için tüm uygulama çerezleri için `__Host-` önekinin kullanılması iyi bir uygulama olarak kabul edilebilir.

## Çerez Saldırıları

Özel bir çerez hassas veriler içeriyorsa (özellikle bir CTF oynuyorsanız) kontrol edin, çünkü zayıf olabilir.

### Çerezlerin Kodunu Çözme ve Manipülasyonu

Çerezlere gömülü hassas veriler her zaman dikkatlice incelenmelidir. Base64 veya benzeri formatlarda kodlanmış çerezler genellikle çözülebilir. Bu zayıflık, saldırganların çerezin içeriğini değiştirmesine ve değiştirilmiş verilerini tekrar çerezlere kodlamalarına izin verir.

### Oturum Kaçırma

Bu saldırı, bir kullanıcının çerezini çalarak bir uygulamadaki hesabına izinsiz erişim sağlamayı içerir. Çalınan çerez kullanılarak saldırgan, meşru kullanıcıyı taklit edebilir.

### Oturum Sabitleme

Bu senaryoda, saldırgan bir kurbanı belirli bir çerez kullanmaya kandırır. Uygulama giriş yaparken yeni bir çerez atamazsa, saldırgan, orijinal çereze sahip olduğu için kurbanı taklit edebilir. Bu teknik, kurbanın saldırgan tarafından sağlanan bir çerezle giriş yapmasına dayanır.

Eğer bir **alt alan adında XSS bulduysanız** veya bir **alt alan adını kontrol ediyorsanız**, okuyun:

{% content-ref url="cookie-tossing.md" %}
[cookie-tossing.md](cookie-tossing.md)
{% endcontent-ref %}

### Oturum Bağışı

Burada saldırgan, kurbanı saldırganın oturum çerezini kullanmaya ikna eder. Kendi hesabına giriş yaptığına inanan kurban, aslında saldırganın hesabıyla eylemler gerçekleştirir.

Eğer bir **alt alan adında XSS bulduysanız** veya bir **alt alan adını kontrol ediyorsanız**, okuyun:

{% content-ref url="cookie-tossing.md" %}
[cookie-tossing.md](cookie-tossing.md)
{% endcontent-ref %}

### [JWT Çerezleri](../hacking-jwt-json-web-tokens.md)

JWT çerezlerinde kullanılan JSON Web Token'lar da zayıflıklar içerebilir. Potansiyel zayıflıklar ve bunları nasıl sömürüleceği hakkında daha detaylı bilgi için, JWT hackleme konusundaki bağlantılı belgeye erişmek önerilir.

### Cross-Site Request Forgery (CSRF)

Bu saldırı, oturum açmış bir kullanıcıyı, mevcut kimlik doğrulaması yapılan bir web uygulamasında istenmeyen eylemler gerçekleştirmeye zorlar. Saldırganlar, her istekle otomatik olarak gönderilen çerezleri sömürebilir.

### Boş Çerezler

(Daha fazla ayrıntı için [orijinal araştırmaya](https://blog.ankursundara.com/cookie-bugs/) bakın)
Tarayıcılar, isimsiz çerezlerin oluşturulmasına izin verir. Bu, JavaScript kullanılarak aşağıdaki gibi gösterilebilir:
```js
document.cookie = "a=v1"
document.cookie = "=test value;" // Setting an empty named cookie
document.cookie = "b=v2"
```
Gönderilen çerez başlığındaki sonuç `a=v1; test değeri; b=v2;` şeklindedir. İlginç bir şekilde, boş bir isim çerezi ayarlanırsa çerezlerin manipüle edilmesine izin verir ve boş çerez belirli bir değere ayarlanarak diğer çerezlerin kontrol edilmesini sağlar:
```js
function setCookie(name, value) {
document.cookie = `${name}=${value}`;
}

setCookie("", "a=b"); // Setting the empty cookie modifies another cookie's value
```
Bu, tarayıcının `a` adında ve `b` değerinde bir çerez olarak yorumladığı bir çerez başlığını göndermesine yol açar.

#### Chrome Hatası: Unicode Surrogate Kod Noktası Sorunu

Chrome'da, bir Unicode surrogate kod noktası bir çerezin bir parçası ise, `document.cookie` bozulur ve sonrasında boş bir dize döndürür:
```js
document.cookie = "\ud800=meep";
```
Bu, `document.cookie`'nin boş bir dize çıktısı vermesine neden olan kalıcı bir bozulmayı gösterir.

#### Ayrıştırma Sorunları Nedeniyle Çerez Kaçırma

(Daha fazla ayrıntı için [orijinal araştırmaya](https://blog.ankursundara.com/cookie-bugs/) bakın)
Java (Jetty, TomCat, Undertow) ve Python (Zope, cherrypy, web.py, aiohttp, bottle, webob) dahil birkaç web sunucusu, eski RFC2965 desteği nedeniyle çerez dizelerini yanlış işler. Çift tırnakla çevrili bir çerez değeri, normalde anahtar-değer çiftlerini ayıran noktalı virgüller içerse bile tek bir değer olarak okunur:
```
RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end";
```
#### Çerez Enjeksiyonu Zafiyetleri

(Daha fazla ayrıntı için [orijinal araştırmaya](https://blog.ankursundara.com/cookie-bugs/) bakın)
Sunucuların, özellikle Undertow, Zope ve Python'ın `http.cookie.SimpleCookie` ve `http.cookie.BaseCookie` kullanarak çerezleri yanlış ayrıştırması, çerez enjeksiyon saldırıları için fırsatlar yaratır. Bu sunucular, yeni çerezlerin başlangıcını doğru bir şekilde sınırlamazlar ve saldırganlara çerez taklit etme imkanı verir:

- Undertow, tırnak içindeki bir değerden sonra noktalı virgül olmadan hemen yeni bir çerez bekler.
- Zope, bir sonraki çerezi ayrıştırmaya başlamak için bir virgül arar.
- Python'ın çerez sınıfları, bir boşluk karakterinde ayrıştırmaya başlar.

Bu zafiyet, çerez tabanlı CSRF korumasına güvenen web uygulamalarında özellikle tehlikelidir, çünkü saldırganlara sahte CSRF belirteci çerezleri enjekte etme imkanı verir ve güvenlik önlemlerini atlamalarına neden olabilir. Sorun, Python'ın çift çerez adlarını işleme şekli tarafından daha da kötüleştirilir, burada son çerez adı öncekileri geçersiz kılar. Ayrıca, güvensiz bağlamlarda `__Secure-` ve `__Host-` çerezleri için endişeleri artırır ve çerezler yetkilendirme taklitine yol açabilir, bu da sahte yapılabilen arka uç sunucularına çerezlerin iletilmesi durumunda yetkilendirme atlamalarına neden olabilir.


### Ek Zafiyetli Çerez Kontrolleri

#### **Temel kontroller**

* **Çerez**, her oturum açtığınızda **aynı** olmalıdır.
* Oturumu kapatın ve aynı çerezi kullanmaya çalışın.
* Aynı çerezi kullanarak aynı hesaba 2 cihazda (veya tarayıcıda) oturum açmayı deneyin.
* Çerezde herhangi bir bilgi olup olmadığını kontrol edin ve değiştirmeyi deneyin.
* Neredeyse aynı kullanıcı adıyla birkaç hesap oluşturmayı deneyin ve benzerlikleri görebilir misiniz.
* Varsa "**beni hatırla**" seçeneğini kontrol edin ve nasıl çalıştığını görün. Eğer varsa ve zafiyete açıksa, her zaman sadece **beni hatırla** çerezini kullanın, başka bir çerez olmadan.
* Şifrenizi değiştirdikten sonra önceki çerez hala çalışıyor mu kontrol edin.

#### **Gelişmiş çerez saldırıları**

Eğer çerez oturum açtığınızda aynı kalıyorsa (veya neredeyse aynı), bu muhtemelen çerezin hesabınızın bazı alanıyla ilişkili olduğu anlamına gelir (muhtemelen kullanıcı adı). O zaman yapabileceğiniz şeyler:

* Çok sayıda **hesap** oluşturun ve kullanıcı adları çok **benzer** olsun, algoritmanın nasıl çalıştığını **tahmin etmeye** çalışın.
* **Kullanıcı adını** **brute force** ile deneyin. Eğer çerez sadece kullanıcı adınız için bir kimlik doğrulama yöntemi olarak kaydediyorsa, o zaman "**Bmin**" kullanıcı adıyla bir hesap oluşturabilir ve çerezinizin her bir **bit**'ini **brute force** ile deneyebilirsiniz, çünkü deneyeceğiniz çerezlerden biri "**admin**"e ait olacaktır.
* **Padding Oracle**'ı deneyin (çerezin içeriğini şifre çözebilirsiniz). **Padbuster** kullanın.

**Padding Oracle - Padbuster örnekleri**
```bash
padbuster <URL/path/when/successfully/login/with/cookie> <COOKIE> <PAD[8-16]>
# When cookies and regular Base64
padbuster http://web.com/index.php u7bvLewln6PJPSAbMb5pFfnCHSEd6olf 8 -cookies auth=u7bvLewln6PJPSAbMb5pFfnCHSEd6olf

# If Base64 urlsafe or hex-lowercase or hex-uppercase --encoding parameter is needed, for example:
padBuster http://web.com/home.jsp?UID=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6
7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6 8 -encoding 2
```
Padbuster, birkaç deneme yapacak ve hangi koşulun hatalı koşul olduğunu (geçerli olmayan koşul) size soracak.

Daha sonra çerezin şifresini çözmeye başlayacak (birkaç dakika sürebilir).

Eğer saldırı başarıyla gerçekleştirildiyse, istediğiniz bir dizeyi şifrelemeyi deneyebilirsiniz. Örneğin, **user=administrator**'ü **şifrelemek** isterseniz.
```
padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== 8 -cookies thecookie=1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== -plaintext user=administrator
```
Bu işlem, içinde **user=administrator** dizesiyle doğru bir şekilde şifrelenmiş ve kodlanmış çerezi verecektir.

**CBC-MAC**

Bir çerezin değeri olabilir ve CBC kullanılarak imzalanabilir. Değerin bütünlüğü, aynı değeri kullanarak CBC kullanarak oluşturulan imzadır. IV olarak boş bir vektör kullanılması önerildiği için bu tür bütünlük kontrolü savunmasız olabilir.

**Saldırı**

1. **administ** kullanıcı adının imzasını alın = **t**
2. **rator\x00\x00\x00 XOR t** kullanıcı adının imzasını alın = **t'**
3. Çereze **administrator+t'** değerini ayarlayın (**t'**, **(rator\x00\x00\x00 XOR t) XOR t** = **rator\x00\x00\x00** için geçerli bir imza olacaktır)

**ECB**

Çerez ECB kullanılarak şifrelendiyse savunmasız olabilir.\
Giriş yaptığınızda aldığınız çerez her zaman aynı olmalıdır.

**Nasıl tespit edilir ve saldırılır:**

Neredeyse aynı verilere sahip 2 kullanıcı oluşturun (kullanıcı adı, şifre, e-posta vb.) ve verilen çerezde bir desen keşfetmeye çalışın.

Örneğin "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" adında bir kullanıcı oluşturun ve çerezde herhangi bir desen olup olmadığını kontrol edin (ECB, her bloğu aynı anahtarla şifrelediği için kullanıcı adı şifrelendiğinde aynı şifrelenmiş baytlar görünebilir).

Bir desen olmalıdır (kullanılan bloğun boyutunda). Bu nedenle, bir bloğun şifrelenmiş desenini bilerek bir kullanıcı adı oluşturabilirsiniz: "a"\*(blok boyutu)+"admin". Ardından, çerezden bir blok "a"nın şifrelenmiş desenini silebilirsiniz. Ve "admin" kullanıcı adının çerezine sahip olacaksınız.

## Referanslar

* [https://blog.ankursundara.com/cookie-bugs/](https://blog.ankursundara.com/cookie-bugs/)
* [https://www.linkedin.com/posts/rickey-martin-24533653_100daysofhacking-penetrationtester-ethicalhacking-activity-7016286424526180352-bwDd](https://www.linkedin.com/posts/rickey-martin-24533653_100daysofhacking-penetrationtester-ethicalhacking-activity-7016286424526180352-bwDd)

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

En önemli güvenlik açıklarını bulun, böylece daha hızlı düzeltebilirsiniz. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong> ile sıfırdan kahraman olmak için AWS hackleme öğrenin<strong>!</strong></summary>

HackTricks'i desteklemenin diğer yolları:

* Şirketinizi HackTricks'te **reklam vermek veya HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz olan [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi Twitter'da takip edin 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live).
* Hacking hilelerinizi paylaşarak HackTricks ve HackTricks Cloud github depolarına PR göndererek katkıda bulunun.

</details>