タイミング攻撃

{% hint style="success" %} AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

{% endhint %}

{% hint style="warning" %} この技術を深く理解するためには、https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-workの元のレポートを確認してください。 {% endhint %}

基本情報

タイミング攻撃の基本的な目標は、類似のリクエストからの応答の時間差を確認することによって、複雑な質問に答えたり、隠れた機能を検出したりすることです。

従来、これはネットワークとサーバーによって導入される遅延とジッターのために非常に複雑でした。しかし、レースコンディションシングルパケット攻撃の発見と改善以来、この技術を使用してネットワーク遅延のノイズを方程式から取り除くことが可能になりました。
サーバーの遅延だけを残すことで、タイミング攻撃の発見と悪用が容易になります。

発見

隠れた攻撃面

ブログ記事では、この技術を使用して隠れたパラメータやヘッダーを見つけることができた方法がコメントされています。リクエストにパラメータやヘッダーが存在する場合、約5msの時間差があったことを確認するだけで済みました。実際、この発見技術はBurp SuiteのParam Minerに追加されました。

これらの時間差は、DNSリクエストが実行されたため、無効な入力のためにログが書き込まれたため、またはリクエストにパラメータが存在する場合にチェックが実行されたためかもしれません。

この種の攻撃を実行する際に覚えておくべきことは、隠れた性質のために、時間差の実際の原因が何であるかを知らない可能性があるということです。

リバースプロキシの誤設定

同じ研究では、タイミング技術が「スコープ付きSSRF」（許可されたIP/ドメインにのみアクセスできるSSRF）を発見するのに非常に効果的であることが共有されました。許可されたドメインが設定されている場合と、許可されていないドメインが設定されている場合の時間差を確認するだけで、応答が同じであってもオープンプロキシを発見するのに役立ちます。

スコープ付きオープンプロキシが発見されると、ターゲットの既知のサブドメインを解析することで有効なターゲットを見つけることができ、これにより以下が可能になります：

ファイアウォールをバイパスし、インターネット経由ではなくオープンプロキシを介して制限されたサブドメインにアクセスする
サブドメインを確認することで、公開されていない内部サブドメインを発見し、アクセスすることが可能になる
フロントエンドのなりすまし攻撃：フロントエンドサーバーは通常、バックエンド用のヘッダーを追加します。オープンプロキシでは、これらのヘッダーを見つけることができれば（再度タイミング攻撃を使用して見つけることができるかもしれません）、これらのヘッダーを設定してさらなるアクセスを収集することができます。

参考文献

https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work