<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
Cross-Origin Resource Sharing (CORS) standard **omogućava serverima da definišu ko može pristupiti njihovim resursima** i **koje HTTP metode zahteva su dozvoljene** sa spoljnih izvora.
Politika **iste porekla** zahteva da **server koji zahteva** resurs i server koji **hostuje** resurs dele isti protokol (npr. `http://`), ime domena (npr. `internal-web.com`) i **port** (npr. 80). Prema ovoj politici, samo veb stranice sa istog domena i porta imaju dozvoljen pristup resursima.
Ovo zaglavlje može dozvoliti **više porekla**, vrednost **`null`** ili specijalni karakter **`*`**. Međutim, **nijedan pregledač ne podržava više porekla**, a upotreba specijalnog karaktera `*` je podložna **ograničenjima**. (Specijalni karakter `*` mora biti korišćen samostalno, a njegova upotreba zajedno sa `Access-Control-Allow-Credentials: true` nije dozvoljena.)
Ovo zaglavlje **izdaje server** kao odgovor na zahtev za resurs iz drugog domena koji je inicirao veb stranica, pri čemu pregledač automatski dodaje zaglavlje `Origin`.
Podrazumevano, zahtevi sa drugog domena se šalju bez akreditacija kao što su kolačići ili Authorization zaglavlje. Međutim, server sa drugog domena može dozvoliti čitanje odgovora kada se šalju akreditacije postavljanjem zaglavlja `Access-Control-Allow-Credentials` na **`true`**.
Kada se pokrene zahtev između domena pod određenim uslovima, kao što je korišćenje **ne-standardne HTTP metode** (bilo koja osim HEAD, GET, POST), uvođenje novih **headera**, ili korišćenje posebne vrednosti **Content-Type headera**, može biti potreban pre-flight zahtev. Ovaj preliminarni zahtev, koji koristi metodu **`OPTIONS`**, služi da obavesti server o namerama nadolazećeg zahteva između domena, uključujući HTTP metode i headere koje namerava da koristi.
Protokol **Cross-Origin Resource Sharing (CORS)** propisuje ovu proveru pre-flight zahteva kako bi se utvrdila izvodljivost tražene operacije između domena, proverom dozvoljenih metoda, headera i pouzdanosti porekla. Za detaljnije razumevanje uslova koji izbegavaju potrebu za pre-flight zahtevom, pogledajte sveobuhvatni vodič koji pruža [**Mozilla Developer Network (MDN)**](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple_requests).
Važno je napomenuti da **odsustvo pre-flight zahteva ne ukida potrebu da odgovor nosi autorizacione headere**. Bez ovih headera, pregledač je nesposoban da obradi odgovor između domena.
Razmotrite sledeći prikaz pre-flight zahteva koji ima za cilj korišćenje metode `PUT` zajedno sa prilagođenim headerom nazvanim `Special-Request-Header`:
Kao odgovor, server može vratiti zaglavlja koja ukazuju na prihvaćene metode, dozvoljeni izvor i druge detalje politike CORS-a, kao što je prikazano ispod:
- **`Access-Control-Allow-Headers`**: Ovaj zaglavlje specificira koje zaglavlja mogu biti korišćena tokom stvarnog zahteva. Postavlja ga server da bi označio dozvoljena zaglavlja u zahtevima od klijenta.
- **`Access-Control-Expose-Headers`**: Kroz ovo zaglavlje, server obaveštava klijenta o tome koja zaglavlja mogu biti prikazana kao deo odgovora, osim jednostavnih zaglavlja odgovora.
- **`Access-Control-Max-Age`**: Ovo zaglavlje označava koliko dugo rezultati pre-flight zahteva mogu biti keširani. Server postavlja maksimalno vreme, u sekundama, koje se može ponovo koristiti informacija vraćena pre-flight zahtevom.
- **`Access-Control-Request-Headers`**: Koristi se u pre-flight zahtevima, ovo zaglavlje postavlja klijent da obavesti server o tome koja HTTP zaglavlja klijent želi da koristi u stvarnom zahtevu.
- **`Access-Control-Request-Method`**: Ovo zaglavlje, takođe korišćeno u pre-flight zahtevima, postavlja klijent da označi koji HTTP metod će biti korišćen u stvarnom zahtevu.
- **`Origin`**: Ovo zaglavlje automatski postavlja pregledač i označava poreklo zahteva sa različitog porekla. Koristi ga server da proceni da li dolazni zahtev treba da bude dozvoljen ili odbijen na osnovu CORS politike.
Imajte na umu da obično (zavisno od tipa sadržaja i postavljenih zaglavlja) u **GET/POST zahtevu se ne šalje pre-flight zahtev** (zahtev se šalje **direktno**), ali ako želite da pristupite **zaglavljima/telu odgovora**, mora sadržati zaglavlje _Access-Control-Allow-Origin_ koje to dozvoljava.\
**Stoga, CORS ne štiti od CSRF (ali može biti korisno).**
1.**`Access-Control-Request-Local-Network`**: Ovo zaglavlje se uključuje u zahtev klijenta da označi da je upit usmeren na resurs lokalne mreže. Služi kao oznaka koja obaveštava server da zahtev potiče iz lokalne mreže.
2.**`Access-Control-Allow-Local-Network`**: Kao odgovor, serveri koriste ovo zaglavlje da komuniciraju da je traženi resurs dozvoljen da se deli sa entitetima van lokalne mreže. Deluje kao zeleno svetlo za deljenje resursa preko različitih granica mreže, obezbeđujući kontrolisan pristup uz održavanje sigurnosnih protokola.
Imajte na umu da IP adresa **0.0.0.0** na linuxu omogućava **zaobilaženje** ovih zahteva za pristup lokalnom računaru jer se ta IP adresa ne smatra "lokalnom".
Takođe je moguće **zaobići zahteve lokalne mreže** ako koristite **javnu IP adresu lokalnog endpoina** (kao što je javna IP adresa rutera). Jer u nekoliko slučajeva, čak i ako se pristupa **javnoj IP adresi**, ako je to **iz lokalne mreže**, pristup će biti odobren.
Primećeno je da je podešavanje `Access-Control-Allow-Credentials` na **`true`** preduslov za većinu **stvarnih napada**. Ovo podešavanje omogućava pregledaču da šalje akreditive i čita odgovor, čime se povećava efikasnost napada. Bez toga, prednost izdavanja zahteva preko pregledača umesto ručnog izdavanja zahteva se smanjuje, jer postaje nemoguće iskoristiti kolačiće korisnika.
Postoji izuzetak gde mrežna lokacija žrtve deluje kao oblik autentifikacije. To omogućava korišćenje pregledača žrtve kao proxy-ja, zaobilazeći autentifikaciju zasnovanu na IP adresi kako bi se pristupilo aplikacijama unutar mreže. Ovaj metod ima sličnosti sa DNS prevezivanjem, ali je jednostavniji za iskorišćavanje.
Realni scenario gde se vrednost zaglavlja `Origin` reflektuje u `Access-Control-Allow-Origin` je teorijski malo verovatan zbog ograničenja u kombinovanju ovih zaglavlja. Međutim, programeri koji žele omogućiti CORS za više URL-ova mogu dinamički generisati zaglavlje `Access-Control-Allow-Origin` kopiranjem vrednosti zaglavlja `Origin`. Ovaj pristup može uvesti ranjivosti, posebno kada napadač koristi domen sa imenom koje je dizajnirano da izgleda legitimno, čime obmanjuje logiku validacije.
`null` poreklo, koje se koristi u situacijama poput preusmeravanja ili lokalnih HTML datoteka, ima poseban položaj. Neke aplikacije stavljaju ovo poreklo na belu listu kako bi olakšale lokalni razvoj, nesvesno omogućavajući bilo kojoj veb lokaciji da imitira `null` poreklo putem sandboxed iframe-a, čime se zaobilaze CORS ograničenja.
Kada se susretnete sa belom listom domena, ključno je testirati mogućnosti za zaobilaženje, kao što je dodavanje napadačevog domena na belu listu domena ili iskorišćavanje ranjivosti preuzimanja poddomena. Pored toga, redovni izrazi koji se koriste za validaciju domena mogu zanemariti nijanse u konvencijama imenovanja domena, pružajući dodatne mogućnosti za zaobilaženje.
Obično se regex obrasci fokusiraju na alfanumeričke znakove, tačku (.), i crticu (-), zanemarujući druge mogućnosti. Na primer, ime domena koje je kreirano da uključuje znakove koji se različito tumače u pregledačima i regex obrascima može zaobići sigurnosne provere. Način na koji Safari, Chrome i Firefox obrađuju donje crte u poddomenima ilustruje kako se takve razlike mogu iskoristiti za zaobilaženje logike validacije domena.
**Za više informacija i postavki ove tehnike za zaobilaženje proverite:** [**https://www.corben.io/advanced-cors-techniques/**](https://www.corben.io/advanced-cors-techniques/) **i** [**https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397**](https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397)
Razvojni programeri često implementiraju odbrambene mehanizme kako bi se zaštitili od iskorišćavanja CORS-a putem bele liste domena kojima je dozvoljeno da zahtevaju informacije. Uprkos ovim merama opreza, sigurnost sistema nije neprobojna. Prisustvo čak i jednog ranjivog poddomena unutar belih listiranih domena može otvoriti vrata za iskorišćavanje CORS-a putem drugih ranjivosti, kao što je XSS (Cross-Site Scripting).
Da bismo ilustrovali, razmotrimo scenario u kojem je domen `requester.com` na beloj listi za pristup resursima sa drugog domena, `provider.com`. Konfiguracija na serverskoj strani može izgledati ovako:
U ovom postavci, dozvoljen je pristup svim poddomenima `requester.com`. Međutim, ako je poddomen, na primer `sub.requester.com`, kompromitovan sa XSS ranjivošću, napadač može iskoristiti ovu slabost. Na primer, napadač koji ima pristup `sub.requester.com` može iskoristiti XSS ranjivost da zaobiđe CORS politike i zlonamerno pristupi resursima na `provider.com`.
Moguće je da se, iskorišćavanjem trovanja keša na serverskoj strani putem ubrizgavanja HTTP zaglavlja, izazove XSS ranjivost sačuvana na serveru. Ovaj scenario se dešava kada aplikacija ne sanitizuje `Origin` zaglavlje od nelegalnih karaktera, stvarajući ranjivost posebno za korisnike Internet Explorer-a i Edge-a. Ovi pregledači tretiraju `\r` (0x0d) kao legitimni terminator HTTP zaglavlja, što dovodi do ranjivosti ubrizgavanja HTTP zaglavlja.
Dok direktno iskorišćavanje ove ranjivosti putem slanja neispravnog zaglavlja pretraživaču nije izvodljivo, za ručno generisanje zahteva mogu se koristiti alati poput Burp Suite-a. Ovom metodom može doći do čuvanja odgovora u kešu na serverskoj strani i nenamerno ga posluživanja drugima. Ciljani payload ima za cilj da promeni karakterni skup stranice u UTF-7, kodiranje karaktera koje se često povezuje sa XSS ranjivostima zbog svoje sposobnosti da kodira karaktere na način koji se može izvršiti kao skripta u određenim kontekstima.
**Napomena**: Iskorišćavanje ranjivosti ubrizgavanja zaglavlja HTTP-a, posebno putem trovanja keša na serverskoj strani, ističe kritičnu važnost provere i sanitizacije svih korisničkih unosa, uključujući zaglavlja HTTP-a. Uvek koristite robustan model bezbednosti koji uključuje proveru unosa kako biste sprečili takve ranjivosti.
U ovom scenariju primećuje se instanca veb stranice koja reflektuje sadržaj prilagođenog zaglavlja HTTP-a bez odgovarajućeg kodiranja. Konkretno, veb stranica reflektuje sadržaj uključen u zaglavlje `X-User-id`, koje može sadržati zlonamerni JavaScript, kao što je prikazano primerom u kojem zaglavlje sadrži SVG oznaku slike dizajniranu za izvršavanje JavaScript koda pri učitavanju.
Politike deljenja resursa preko različitih domena (CORS) omogućavaju slanje prilagođenih zaglavlja. Međutim, bez direktnog prikazivanja odgovora od strane pretraživača zbog CORS ograničenja, korisnost takvog ubrizgavanja može izgledati ograničena. Kritična tačka nastaje kada se razmotri ponašanje keša pretraživača. Ako nije navedeno zaglavlje `Vary: Origin`, postaje moguće da zlonamerni odgovor bude keširan od strane pretraživača. Naknadno, ovaj keširani odgovor može se direktno prikazati prilikom navigacije na URL, zaobilazeći potrebu za direktnim prikazivanjem prilikom prvog zahteva. Ovaj mehanizam poboljšava pouzdanost napada korišćenjem keširanja na klijentskoj strani.
Da bi se ilustrovalo ovaj napad, pružen je primer JavaScript koda koji je dizajniran da se izvrši u okruženju veb stranice, kao što je putem JSFiddle-a. Ovaj skript izvršava jednostavnu radnju: šalje zahtev na određeni URL sa prilagođenim zaglavljem koje sadrži zlonamerni JavaScript. Nakon uspešnog završetka zahteva, pokušava da navigira ka ciljanom URL-u, potencijalno pokrećući izvršavanje ubačenog skripta ako je odgovor keširan bez odgovarajuće obrade zaglavlja `Vary: Origin`.
XSSI, poznat i kao Cross-Site Script Inclusion, je vrsta ranjivosti koja koristi činjenicu da se Pravilo o istom poreklu (SOP) ne primenjuje prilikom uključivanja resursa pomoću oznake za skriptu. Ovo je zato što skripte moraju biti uključene sa različitih domena. Ova ranjivost omogućava napadaču pristup i čitanje bilo kog sadržaja koji je uključen pomoću oznake za skriptu.
Ova ranjivost postaje posebno značajna kada je u pitanju dinamički JavaScript ili JSONP (JSON sa dodatnim punjenjem), posebno kada se koriste informacije o ambijentalnoj autorizaciji poput kolačića. Prilikom zahteva za resurs sa druge hostovanje, kolačići se uključuju, čime postaju dostupni napadaču.
Da biste bolje razumeli i umanjili ovu ranjivost, možete koristiti dodatak za BurpSuite dostupan na [https://github.com/kapytein/jsonp](https://github.com/kapytein/jsonp). Ovaj dodatak može pomoći u identifikaciji i rešavanju potencijalnih XSSI ranjivosti u vašim veb aplikacijama.
Pokušajte da dodate **`callback`** **parametar** u zahtev. Možda je stranica bila pripremljena da pošalje podatke kao JSONP. U tom slučaju, stranica će vratiti podatke sa `Content-Type: application/javascript`, što će zaobići CORS politiku.
Jedan način za zaobilaženje restrikcije `Access-Control-Allow-Origin` je da se zatraži od veb aplikacije da izvrši zahtev u vaše ime i vrati odgovor. Međutim, u ovom scenariju, podaci o kredencijalima krajnje žrtve neće biti poslati jer se zahtev šalje ka drugoj domeni.
1. [**CORS-escape**](https://github.com/shalvah/cors-escape): Ovaj alat pruža proksi koji prosleđuje vaš zahtev zajedno sa njegovim zaglavljima, dok istovremeno lažira Origin zaglavlje kako bi se poklopilo sa traženom domenom. Ovo efektivno zaobilazi CORS politiku. Evo primera upotrebe sa XMLHttpRequest:
2. [**simple-cors-escape**](https://github.com/shalvah/simple-cors-escape): Ovaj alat nudi alternativni pristup proksiranju zahteva. Umesto da prosleđuje vaš zahtev onakav kakav jeste, server vrši sopstveni zahtev sa navedenim parametrima.
Možete **zaobići CORS provere** kao što je `e.origin === window.origin` tako što ćete **kreirati iframe** i **iz njega otvoriti novi prozor**. Više informacija možete pronaći na sledećoj stranici:
DNS rebinding može biti koristan za zaobilaženje eksplicitnih IP provera koje vrši žrtva ili za scenarije u kojima korisnik ili bot ostaje na istoj stranici duže vreme, omogućavajući keširanju da istekne.
Ako vam je potreban brz način za zloupotrebu DNS rebindinga, možete koristiti usluge poput [https://lock.cmpxchg8b.com/rebinder.html](https://lock.cmpxchg8b.com/rebinder.html).
Da biste pokrenuli sopstveni DNS rebinding server, možete koristiti alate poput **DNSrebinder** ([https://github.com/mogwailabs/DNSrebinder](https://github.com/mogwailabs/DNSrebinder)). To uključuje izlaganje lokalnog porta 53/udp, kreiranje A zapisa koji pokazuje na taj port (npr. ns.example.com) i kreiranje NS zapisa koji pokazuje na prethodno kreirani poddomen A zapisa (npr. ns.example.com). Svaki poddomen poddomena ns.example.com će tada biti rešen od strane vašeg hosta.
Takođe možete istražiti javno dostupan server na adresi [http://rebind.it/singularity.html](http://rebind.it/singularity.html) radi daljeg razumevanja i eksperimentisanja.
DNS rebinding putem preplavljivanja DNS keša je još jedna tehnika koja se koristi za zaobilaženje mehanizma keširanja pregledača i izazivanje drugog DNS zahteva. Evo kako funkcioniše:
1. Prvobitno, kada žrtva izvrši DNS zahtev, dobija se IP adresa napadača kao odgovor.
2. Da bi zaobišao odbranu keširanja, napadač koristi servisni radnik. Servisni radnik preplavljuje DNS keš, što efektivno briše keširano ime servera napadača.
3. Kada pregledač žrtve izvrši drugi DNS zahtev, dobija se IP adresa 127.0.0.1, koja obično se odnosi na lokalni računar.
Preplavljanjem DNS keša servisnim radnikom, napadač može manipulisati procesom DNS rezolucije i naterati pregledač žrtve da izvrši drugi zahtev, ovog puta sa željenom IP adresom napadača.
1. Napadač postavlja dva A zapisa (ili jedan A zapis sa dve IP adrese) za isti poddomen u DNS provajderu.
2. Kada pregledač proveri ove zapise, dobija obe IP adrese.
3. Ako pregledač odluči da prvo koristi IP adresu napadača, napadač može poslužiti payload koji izvršava HTTP zahteve ka istoj domeni.
4. Međutim, kada napadač dobije IP adresu žrtve, prestaje da odgovara pregledaču žrtve.
5. Pregledač žrtve, kada shvati da je domen nedostupan, prelazi na korišćenje druge date IP adrese.
6. Pristupom drugoj IP adresi, pregledač zaobilazi Pravilo o istom poreklu (SOP), omogućavajući napadaču da zloupotrebi ovo i prikupi i izfiltrira informacije.
* Ako **unutrašnje IP adrese nisu dozvoljene**, možda su **zaboravili zabraniti 0.0.0.0** (radi na Linuxu i Mac-u)
* Ako **unutrašnje IP adrese nisu dozvoljene**, odgovorite sa **CNAME** na **localhost** (radi na Linuxu i Mac-u)
* Ako **unutrašnje IP adrese nisu dozvoljene** kao DNS odgovori, možete odgovoriti **CNAME-ovima na unutrašnje servise** kao što je www.corporate.internal.
Više informacija o prethodnim tehnikama zaobiđaja i kako koristiti sledeći alat možete pronaći u predavanju [Gerald Doussot - State of DNS Rebinding Attacks & Singularity of Origin - DEF CON 27 Conference](https://www.youtube.com/watch?v=y9-0lICNjOQ).
[**`Singularity of Origin`**](https://github.com/nccgroup/singularity) je alat za izvođenje napada [DNS prevezivanja](https://en.wikipedia.org/wiki/DNS\_rebinding). Uključuje neophodne komponente za prevezivanje IP adrese DNS imena napadačkog servera na IP adresu ciljnog računara i za pružanje napadačkih payloada radi iskorišćavanja ranjivog softvera na ciljnom računaru.
* [https://wicg.github.io/private-network-access/](https://wicg.github.io/private-network-access/): Predlog da se uvek šalje pre-flight zahtev kada javni serveri žele da pristupe internim serverima
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite **vašu kompaniju reklamiranu u HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
