タイミング攻撃

{% hint style="success" %} AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

{% endhint %}

{% hint style="warning" %} この技術を深く理解するためには、https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-workの元のレポートを確認してください。 {% endhint %}

基本情報

タイミング攻撃の基本的な目標は、類似のリクエストからの応答の時間差を確認することによって、複雑な質問に答えたり、隠れた機能を検出したりすることです。

従来、これはネットワークとサーバーによって導入される遅延とジッターのために非常に複雑でした。しかし、レースコンディションシングルパケット攻撃の発見と改善以来、この技術を使用してすべてのネットワーク遅延を方程式から除去することが可能になりました。
サーバーの遅延だけを残すことで、タイミング攻撃の発見と悪用が容易になります。

発見

隠れた攻撃面

ブログ記事では、この技術を使用して隠れたパラメータやヘッダーを見つけることができた方法がコメントされています。リクエストにパラメータやヘッダーが存在する場合、約5msの時間差があったことを確認するだけで済みました。実際、この発見技術はBurp SuiteのParam Minerに追加されました。

これらの時間差は、DNSリクエストが実行された、無効な入力のためにログが書き込まれた、またはリクエストにパラメータが存在する場合にチェックが実行されたためかもしれません。

この種の攻撃を実行する際に覚えておくべきことは、隠れた性質のために、時間差の実際の原因が何であるかを知らない可能性があるということです。

リバースプロキシの誤設定

同じ研究では、タイミング技術が「スコープ付きSSRF」（許可されたIP/ドメインにのみアクセスできるSSRF）を発見するのに優れていることが共有されました。許可されたドメインが設定されている場合と、許可されていないドメインが設定されている場合の時間差を確認するだけで、応答が同じであってもオープンプロキシを発見するのに役立ちます。

スコープ付きオープンプロキシが発見されると、ターゲットの既知のサブドメインを解析することで有効なターゲットを見つけることができ、これにより以下が可能になります：

オープンプロキシを介して制限されたサブドメインにアクセスすることにより、ファイアウォールをバイパスする
さらに、オープンプロキシを悪用することで、内部でのみアクセス可能な新しいサブドメインを発見することも可能です。
フロントエンドのなりすまし攻撃：フロントエンドサーバーは通常、X-Forwarded-ForやX-Real-IPのようなバックエンド用のヘッダーを追加します。これらのヘッダーを受け取るオープンプロキシは、要求されたエンドポイントにそれらを追加します。したがって、攻撃者はホワイトリストに登録された値を追加することで、さらに多くの内部ドメインにアクセスできる可能性があります。

参考文献

https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work