Timing Attacks
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
この技術を深く理解するためには、https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-workの元のレポートを確認してください。
タイミング攻撃の基本的な目標は、類似のリクエストからの応答の時間差を確認することによって、複雑な質問に答えたり、隠れた機能を検出したりすることです。
従来、これはネットワークとサーバーによって導入される遅延とジッターのために非常に複雑でした。しかし、レースコンディションシングルパケット攻撃の発見と改善以来、この技術を使用してネットワーク遅延のノイズを方程式から取り除くことが可能になりました。 サーバーの遅延だけを残すことで、タイミング攻撃の発見と悪用が容易になります。
このブログ記事では、この技術を使用して隠れたパラメータやヘッダーを見つけることができた方法がコメントされています。リクエストにパラメータやヘッダーが存在する場合、約5msの時間差があったことを確認するだけで済みました。実際、この発見技術はBurp SuiteのParam Minerに追加されました。
これらの時間差は、DNSリクエストが実行された、無効な入力のためにログが書き込まれた、またはリクエストにパラメータが存在する場合にチェックが実行されたためかもしれません。
この種の攻撃を実行する際に覚えておくべきことは、隠れた性質のために、時間差の実際の原因が何であるかを知らない可能性があるということです。
同じ研究では、タイミング技術が「スコープ付きSSRF」(許可されたIP/ドメインにのみアクセスできるSSRF)を発見するのに非常に効果的であることが共有されました。許可されたドメインが設定されている場合と、許可されていないドメインが設定されている場合の時間差を確認することで、応答が同じであってもオープンプロキシを発見するのに役立ちます。
スコープ付きオープンプロキシが発見されると、ターゲットの既知のサブドメインを解析することで有効なターゲットを見つけることができ、これにより以下が可能になります:
オープンプロキシを介して制限されたサブドメインにアクセスすることにより、ファイアウォールをバイパスする
さらに、オープンプロキシを悪用することで、内部でのみアクセス可能な新しいサブドメインを発見することも可能です。
フロントエンドのなりすまし攻撃:フロントエンドサーバーは通常、X-Forwarded-For
やX-Real-IP
のようなバックエンド用のヘッダーを追加します。これらのヘッダーを受け取るオープンプロキシは、要求されたエンドポイントにそれらを追加します。したがって、攻撃者はホワイトリストに登録された値を追加することで、さらに多くの内部ドメインにアクセスできる可能性があります。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)