Chrome Cache to XSS

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

More in depth details in this writeup.

ここで議論されている技術は、2つの主要なキャッシュタイプ、バック/フォワードキャッシュ (bfcache) と ディスクキャッシュ の動作と相互作用を理解することを含みます。bfcacheは、JavaScriptヒープを含むページの完全なスナップショットを保存し、より包括的なスナップショットを保存できるため、バック/フォワードナビゲーションの際にディスクキャッシュよりも優先されます。一方、ディスクキャッシュは、JavaScriptヒープを含まずにウェブから取得したリソースを保存し、通信コストを削減するためにバック/フォワードナビゲーションに利用されます。ディスクキャッシュの興味深い点は、fetchを使用して取得したリソースが含まれていることであり、つまりアクセスされたURLリソースはブラウザによってキャッシュからレンダリングされます。

Key Points:

bfcacheはバック/フォワードナビゲーションにおいてディスクキャッシュよりも優先されます。
bfcacheの代わりにディスクキャッシュに保存されたページを利用するには、bfcacheを無効にする必要があります。

Disabling bfcache:

デフォルトでは、Puppeteerはbfcacheを無効にし、Chromiumのドキュメントに記載された条件に沿っています。bfcacheを無効にする効果的な方法の1つは、window.open()を使用してwindow.openerへの参照を保持するページを開くことによって、RelatedActiveContentsExistを利用することです。

Reproducing the behavior:

ウェブページにアクセスします。例: https://example.com。
open("http://spanote.seccon.games:3000/api/token")を実行します。これにより、500ステータスコードのサーバー応答が得られます。
新しく開いたタブで、http://spanote.seccon.games:3000/に移動します。このアクションにより、http://spanote.seccon.games:3000/api/tokenの応答がディスクキャッシュとしてキャッシュされます。
history.back()を使用して戻ります。このアクションにより、ページにキャッシュされたJSON応答がレンダリングされます。

ディスクキャッシュが利用されたことの確認は、Google ChromeのDevToolsを使用して確認できます。

bfcacheとディスクキャッシュに関するさらなる詳細は、web.dev on bfcacheおよびChromiumのディスクキャッシュに関する設計文書で参照できます。

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAbusing Service Workers NextDebugging Client Side JS

Last updated 4 months ago