Content Security Policy (CSP) Bypass
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
Content Security Policy (CSP), esasen cross-site scripting (XSS) gibi saldırılara karşı koruma sağlamak amacıyla tanınan bir tarayıcı teknolojisidir. Tarayıcı tarafından güvenli bir şekilde yüklenebilecek kaynakların yollarını ve kaynaklarını tanımlayarak çalışır. Bu kaynaklar, resimler, çerçeveler ve JavaScript gibi çeşitli öğeleri kapsar. Örneğin, bir politika, aynı alan adından (self) kaynakların yüklenmesine ve çalıştırılmasına izin verebilir; bu, inline kaynakları ve eval, setTimeout veya setInterval gibi fonksiyonlar aracılığıyla string kodunun çalıştırılmasını içerir.
CSP'nin uygulanması, yanıt başlıkları aracılığıyla veya HTML sayfasına meta öğeleri ekleyerek gerçekleştirilir. Bu politikayı izleyerek, tarayıcılar bu şartları proaktif bir şekilde uygular ve tespit edilen ihlalleri hemen engeller.
Yanıt başlığı aracılığıyla uygulanmıştır:
Meta etiketi aracılığıyla uygulandı:
CSP, bu başlıklar kullanılarak uygulanabilir veya izlenebilir:
Content-Security-Policy: CSP'yi uygular; tarayıcı herhangi bir ihlali engeller.
Content-Security-Policy-Report-Only: İzleme için kullanılır; ihlalleri engellemeden raporlar. Ön üretim ortamlarında test etmek için idealdir.
CSP, hem aktif hem de pasif içeriğin yüklenmesi için kökenleri kısıtlar, inline JavaScript yürütmesi ve eval() kullanımı gibi yönleri kontrol eder. Bir örnek politika:
script-src: JavaScript için belirli kaynaklara izin verir, URL'ler, satır içi betikler ve olay işleyicileri veya XSLT stilleri tarafından tetiklenen betikler dahil.
default-src: Belirli fetch direktifleri yoksa kaynakları almak için varsayılan bir politika belirler.
child-src: Web işçileri ve gömülü çerçeve içerikleri için izin verilen kaynakları belirtir.
connect-src: fetch, WebSocket, XMLHttpRequest gibi arayüzler kullanılarak yüklenebilecek URL'leri kısıtlar.
frame-src: Çerçeveler için URL'leri kısıtlar.
frame-ancestors: Geçerli sayfayı gömebilecek kaynakları belirtir, <frame>, <iframe>, <object>, <embed> ve <applet> gibi öğelere uygulanır.
img-src: Resimler için izin verilen kaynakları tanımlar.
font-src: @font-face kullanılarak yüklenen fontlar için geçerli kaynakları belirtir.
manifest-src: Uygulama manifest dosyalarının izin verilen kaynaklarını tanımlar.
media-src: Medya nesnelerini yüklemek için izin verilen kaynakları tanımlar.
object-src: <object>, <embed> ve <applet> öğeleri için izin verilen kaynakları tanımlar.
base-uri: <base> öğeleri kullanarak yüklenebilecek izin verilen URL'leri belirtir.
form-action: Form gönderimleri için geçerli uç noktaları listeler.
plugin-types: Bir sayfanın çağırabileceği mime türlerini kısıtlar.
upgrade-insecure-requests: Tarayıcılara HTTP URL'lerini HTTPS'ye yeniden yazmalarını talimat verir.
sandbox: <iframe>'in sandbox niteliğine benzer kısıtlamalar uygular.
report-to: Politika ihlal edilirse bir raporun gönderileceği grubu belirtir.
worker-src: Worker, SharedWorker veya ServiceWorker betikleri için geçerli kaynakları belirtir.
prefetch-src: Alınacak veya önceden alınacak kaynaklar için geçerli kaynakları belirtir.
navigate-to: Bir belgenin herhangi bir şekilde (a, form, window.location, window.open, vb.) gidebileceği URL'leri kısıtlar.
*: data:, blob:, filesystem: şemaları dışındaki tüm URL'lere izin verir.
'self': Aynı alan adından yüklemeye izin verir.
'data': Veriler şeması aracılığıyla kaynakların yüklenmesine izin verir (örneğin, Base64 kodlu resimler).
'none': Herhangi bir kaynaktan yüklemeyi engeller.
'unsafe-eval': eval() ve benzeri yöntemlerin kullanılmasına izin verir, güvenlik nedenleriyle önerilmez.
'unsafe-hashes': Belirli satır içi olay işleyicilerini etkinleştirir.
'unsafe-inline': Satır içi <script> veya <style> gibi satır içi kaynakların kullanılmasına izin verir, güvenlik nedenleriyle önerilmez.
'nonce': Kriptografik bir nonce (bir kez kullanılan sayı) kullanarak belirli satır içi betikler için bir beyaz liste.
JS sınırlı yürütme varsa, sayfa içinde kullanılan bir nonce almak mümkündür doc.defaultView.top.document.querySelector("[nonce]") ile ve ardından kötü niyetli bir betik yüklemek için yeniden kullanılabilir (strict-dynamic kullanılıyorsa, herhangi bir izin verilen kaynak yeni kaynaklar yükleyebilir, bu nedenle bu gerekli değildir), örneğin:
'sha256-<hash>': Belirli bir sha256 hash'ine sahip scriptleri beyaz listeye alır.
'strict-dynamic': Bir nonce veya hash ile beyaz listeye alındıysa, herhangi bir kaynaktan script yüklenmesine izin verir.
'host': example.com gibi belirli bir hostu belirtir.
https:: URL'leri yalnızca HTTPS kullananlarla kısıtlar.
blob:: Kaynakların Blob URL'lerinden (örneğin, JavaScript ile oluşturulan Blob URL'leri) yüklenmesine izin verir.
filesystem:: Kaynakların dosya sisteminden yüklenmesine izin verir.
'report-sample': İhlal raporunda ihlal eden kodun bir örneğini içerir (hata ayıklama için yararlıdır).
'strict-origin': 'self' ile benzer ancak kaynakların protokol güvenlik seviyesinin belgeyle eşleşmesini sağlar (yalnızca güvenli kökenler güvenli kökenlerden kaynak yükleyebilir).
'strict-origin-when-cross-origin': Aynı köken istekleri yaparken tam URL'leri gönderir, ancak istek çapraz köken olduğunda yalnızca kökeni gönderir.
'unsafe-allow-redirects': Hemen başka bir kaynağa yönlendirecek kaynakların yüklenmesine izin verir. Güvenliği zayıflattığı için önerilmez.
Çalışan yük: "/><script>alert(1);</script>
Bu çalışmıyor, daha fazla bilgi için bunu kontrol et.
Çalışan yük:
Eğer bir şekilde izin verilen JS kodu DOM'da yeni bir script etiketi oluşturabiliyorsa ve bu izin verilen script onu oluşturuyorsa, yeni script etiketi çalıştırılmaya izin verilecektir.
Çalışan yük:
Görünüşe göre bu artık çalışmıyor
Çalışan yükler:
Eğer bir JS dosyası yükleyebiliyorsanız, bu CSP'yi atlayabilirsiniz:
Çalışan yük:
Ancak, sunucunun yüklenen dosyayı doğrulama olasılığı oldukça yüksektir ve yalnızca belirli türde dosyaların yüklenmesine izin verecektir.
Ayrıca, sunucu tarafından kabul edilen bir uzantı kullanarak bir dosya içinde JS kodu yükleyebilseniz bile (örneğin: script.png), bu yeterli olmayacaktır çünkü bazı sunucular, apache sunucusu gibi, dosyanın MIME türünü uzantıya göre seçer ve Chrome gibi tarayıcılar, bir görüntü olması gereken bir şeyin içinde Javascript kodunu çalıştırmayı reddeder. "Umarım", hatalar vardır. Örneğin, bir CTF'den öğrendiğim kadarıyla Apache, .wave uzantısını bilmez, bu nedenle onu MIME türü olarak audio/ ile sunmaz.
Buradan, bir XSS ve dosya yüklemesi bulursanız ve yanlış yorumlanan bir uzantı bulmayı başarırsanız, o uzantıyla bir dosya yüklemeyi ve script'in içeriğini denemek isteyebilirsiniz. Ya da, sunucu yüklenen dosyanın doğru formatını kontrol ediyorsa, bir polyglot oluşturabilirsiniz (bazı polyglot örnekleri burada).
JS enjekte etmek mümkün değilse, örneğin kimlik bilgilerini bir form eylemi enjekte ederek dışarı sızdırmayı deneyebilirsiniz (ve belki şifre yöneticilerinin şifreleri otomatik doldurmasını bekleyebilirsiniz). Bu raporda bir örnek bulabilirsiniz. Ayrıca, default-src'nin form eylemlerini kapsamadığını unutmayın.
Aşağıdaki bazı yükler için unsafe-eval bile gerekli değildir.
Bir açık sürümünü yükleyin angular ve rastgele JS çalıştırın:
window nesnesini döndüren fonksiyonlar içeren bir kütüphane ile payloadlar (bu yazıya göz atın):Yazı, cdn.cloudflare.com (veya başka bir izin verilen JS kütüphaneleri deposu) üzerinden tüm kütüphaneleri yükleyebileceğinizi, her kütüphaneden eklenen tüm fonksiyonları çalıştırabileceğinizi ve hangi kütüphanelerden hangi fonksiyonların window nesnesini döndürdüğünü kontrol edebileceğinizi gösteriyor.
Angular XSS bir sınıf adından:
bu CTF yazısına göre, CSP içinde https://www.google.com/recaptcha/ kullanarak CSP'yi atlayarak rastgele JS kodu çalıştırabilirsiniz:
Daha fazla bu yazıdan payloadlar:
Aşağıdaki URL, example.com'a yönlendirir (buradan):
Abusing *.google.com/script.google.com
Google Apps Script'i, script.google.com içindeki bir sayfada bilgi almak için kötüye kullanmak mümkündür. Bunu bu raporda olduğu gibi yapabilirsiniz.
Scenarios like this where script-src is set to self and a particular domain which is whitelisted can be bypassed using JSONP. JSONP uç noktaları, bir saldırganın XSS gerçekleştirmesine olanak tanıyan güvensiz geri çağırma yöntemlerine izin verir, çalışan yük:
JSONBee farklı web sitelerinin CSP'sini atlatmak için kullanılmaya hazır JSONP uç noktaları içerir.
Güvenilir uç nokta bir Açık Yönlendirme içeriyorsa aynı zafiyet meydana gelecektir çünkü başlangıç uç noktası güvenilir ise, yönlendirmeler de güvenilir kabul edilir.
Aşağıdaki gönderide açıklandığı gibi, CSP'de bir yerde izin verilen birçok üçüncü taraf alanı, verileri dışarı sızdırmak veya JavaScript kodu çalıştırmak için istismar edilebilir. Bu üçüncü taraflardan bazıları şunlardır:
www.facebook.com, *.facebook.com
Exfil
Hotjar
*.hotjar.com, ask.hotjar.io
Exfil
Jsdelivr
*.jsdelivr.com, cdn.jsdelivr.net
Exec
Amazon CloudFront
*.cloudfront.net
Exfil, Exec
Amazon AWS
*.amazonaws.com
Exfil, Exec
Azure Websites
*.azurewebsites.net, *.azurestaticapps.net
Exfil, Exec
Salesforce Heroku
*.herokuapp.com
Exfil, Exec
Google Firebase
*.firebaseapp.com
Exfil, Exec
Hedefinizin CSP'sinde izin verilen alanlardan herhangi birini bulursanız, üçüncü taraf hizmetine kaydolarak CSP'yi atlatma şansınız olabilir ve ya verileri o hizmete dışarı sızdırabilir ya da kod çalıştırabilirsiniz.
Örneğin, aşağıdaki CSP'yi bulursanız:
ya da
Veri sızdırma işlemini, her zaman Google Analytics/Google Tag Manager ile yapıldığı gibi gerçekleştirebilmelisiniz. Bu durumda, aşağıdaki genel adımları izlersiniz:
Buradan bir Facebook Geliştirici hesabı oluşturun.
Yeni bir "Facebook Girişi" uygulaması oluşturun ve "Web Sitesi"ni seçin.
"Ayarlar -> Temel" bölümüne gidin ve "Uygulama Kimliğinizi" alın.
Veri sızdırmak istediğiniz hedef sitede, "customEvent" ve veri yükü aracılığıyla doğrudan Facebook SDK aracı "fbq" kullanarak veri sızdırabilirsiniz.
Uygulamanızın "Etkinlik Yöneticisi"ne gidin ve oluşturduğunuz uygulamayı seçin (etkinlik yöneticisi, şu URL'de bulunabilir: https://www.facebook.com/events_manager2/list/pixel/[app-id]/test_events).
"Test Etkinlikleri" sekmesini seçerek "sizin" web sitenizden gönderilen etkinlikleri görün.
Ardından, kurban tarafında, saldırganın Facebook geliştirici hesabı uygulama kimliğine işaret eden Facebook izleme pikselini başlatmak ve şu şekilde özel bir etkinlik oluşturmak için aşağıdaki kodu çalıştırırsınız:
Diğer yedi üçüncü taraf alan adı için, önceki tabloda belirtilen, onları kötüye kullanmanın birçok başka yolu vardır. Diğer üçüncü taraf kötüye kullanımları hakkında ek açıklamalar için önceki blog yazısına bakın.
Yukarıda bahsedilen yol kısıtlamalarını aşmak için yönlendirmeye ek olarak, bazı sunucularda kullanılabilecek başka bir teknik olan Relative Path Overwrite (RPO) vardır.
Örneğin, CSP https://example.com/scripts/react/ yoluna izin veriyorsa, şu şekilde aşılabilir:
Tarayıcı nihayetinde https://example.com/scripts/angular/angular.js dosyasını yükleyecektir.
Bu, tarayıcı için https://example.com/scripts/react/ altında bulunan ..%2fangular%2fangular.js adlı bir dosya yüklüyorsunuz gibi göründüğü için çalışır; bu CSP ile uyumludur.
∑, bunu çözecekler ve etkili bir şekilde https://example.com/scripts/react/../angular/angular.js isteğinde bulunacaklar; bu da https://example.com/scripts/angular/angular.js ile eşdeğerdir.
Tarayıcı ve sunucu arasındaki URL yorumlama tutarsızlığından yararlanarak, yol kuralları atlatılabilir.
Çözüm, sunucu tarafında %2f'yi / olarak işlememek ve bu sorunu önlemek için tarayıcı ve sunucu arasında tutarlı bir yorumlama sağlamaktır.
Çevrimiçi Örnek: https://jsbin.com/werevijewa/edit?html,output
Eğer base-uri direktifi eksikse, bunu dangling markup injection gerçekleştirmek için kötüye kullanabilirsiniz.
Ayrıca, eğer sayfa bir göreli yol kullanarak bir script yüklüyorsa (örneğin <script src="/js/app.js">) ve bir Nonce kullanıyorsanız, kendi sunucunuzdan script yüklemesi için base etiketini kötüye kullanarak XSS elde edebilirsiniz.
Eğer savunmasız sayfa httpS ile yükleniyorsa, base'de bir httpS URL'si kullanın.
Belirli bir politika olan İçerik Güvenlik Politikası (CSP), JavaScript olaylarını kısıtlayabilir. Yine de, AngularJS alternatif olarak özel olaylar sunar. Bir olay içinde, AngularJS, yerel tarayıcı olay nesnesini referans alan benzersiz bir nesne olan $event sağlar. Bu $event nesnesi, CSP'yi aşmak için kullanılabilir. Özellikle, Chrome'da, $event/event nesnesi, olayın yürütme zincirinde yer alan nesne dizisini tutan bir path niteliğine sahiptir ve window nesnesi her zaman dizinin sonunda yer alır. Bu yapı, sandbox kaçış taktikleri için kritik öneme sahiptir.
Bu diziyi orderBy filtresine yönlendirerek, dizinin üzerinde yineleme yapmak ve terminal öğeyi (yani window nesnesini) kullanarak alert() gibi küresel bir fonksiyonu tetiklemek mümkündür. Aşağıda gösterilen kod parçası bu süreci açıklamaktadır:
Bu snippet, olayı tetiklemek için ng-focus direktifinin kullanımını vurgular, $event.path|orderBy kullanarak path dizisini manipüle eder ve alert() fonksiyonunu çalıştırmak için window nesnesini kullanarak document.cookie'yi açığa çıkarır.
Diğer Angular bypass'larını bulmak için https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
Bir Angular JS uygulamasında script yükleme için alanları beyaz listeye alan bir CSP politikası, geri çağırma fonksiyonlarının ve belirli savunmasız sınıfların çağrılması yoluyla atlatılabilir. Bu teknikle ilgili daha fazla bilgi, bu git deposunda bulunan ayrıntılı bir kılavuzda mevcuttur.
Çalışan yükler:
Diğer JSONP keyfi yürütme uç noktaları burada bulunabilir (bazıları silindi veya düzeltildi)
CSP sunucu tarafı yönlendirmesiyle karşılaştığında ne olur? Eğer yönlendirme, izin verilmeyen farklı bir kaynağa yönlendirirse, yine de başarısız olacaktır.
Ancak, CSP spesifikasyonu 4.2.2.3. Yollar ve Yönlendirmeler açıklamasına göre, eğer yönlendirme farklı bir yola yönlendirirse, orijinal kısıtlamaları atlayabilir.
İşte bir örnek:
Eğer CSP https://www.google.com/a/b/c/d olarak ayarlandıysa, yol dikkate alındığı için hem /test hem de /a/test scriptleri CSP tarafından engellenecektir.
Ancak, son http://localhost:5555/301 sunucu tarafında https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)// olarak yönlendirilecektir. Bu bir yönlendirme olduğu için, yol dikkate alınmaz ve script yüklenebilir, böylece yol kısıtlaması aşılmış olur.
Bu yönlendirme ile, yol tamamen belirtilse bile, yine de aşılmış olacaktır.
Bu nedenle, en iyi çözüm, web sitesinin herhangi bir açık yönlendirme zafiyeti olmadığından ve CSP kurallarında istismar edilebilecek herhangi bir alan adı bulunmadığından emin olmaktır.
Buradan nasıl olduğunu okuyun.
'unsafe-inline' kodun içinde herhangi bir script çalıştırabileceğiniz anlamına gelir (XSS kod çalıştırabilir) ve img-src * ise web sayfasında herhangi bir kaynaktan herhangi bir resmi kullanabileceğiniz anlamına gelir.
Bu CSP'yi, verileri resimler aracılığıyla dışarı sızdırarak atlatabilirsiniz (bu durumda XSS, bot tarafından erişilebilen bir sayfada bir SQLi'yi kötüye kullanır ve bir resim aracılığıyla bayrağı çıkarır):
From: https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle
Bu yapılandırmayı bir resmin içine yerleştirilmiş javascript kodunu yüklemek için de kötüye kullanabilirsiniz. Örneğin, sayfa Twitter'dan resim yüklemeye izin veriyorsa, özel bir resim oluşturabilir, bunu Twitter'a yükleyebilir ve JS'yi çalıştırmak için "unsafe-inline"ı kötüye kullanabilirsiniz (normal bir XSS gibi) ve bu, resmi yükleyecek, içinden JS'yi çıkartacak ve çalıştıracaktır: https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/
Service workers importScripts fonksiyonu CSP ile sınırlı değildir:
Araştırma: https://portswigger.net/research/bypassing-csp-with-policy-injection
Eğer sizin gönderdiğiniz bir parametre politikanın declaration'ına yapıştırılıyorsa, o zaman politikayı onu işe yaramaz hale getirecek şekilde değiştirebilirsiniz. Bu bypass'lerden herhangi biri ile script 'unsafe-inline' izin verebilirsiniz:
Bu direktif mevcut script-src direktiflerini geçersiz kılacaktır. Burada bir örnek bulabilirsiniz: http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=%3Bscript-src-elem+*&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E
Edge'de çok daha basit. CSP'ye sadece şunu ekleyebilirseniz: ;_ Edge tüm politikayı silip atar.
Örnek: http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=;_&y=%3Cscript%3Ealert(1)%3C/script%3E
'unsafe-inline' direktifinin eksikliğine dikkat edin.
Bu sefer kurbanı XSS aracılığıyla kontrolünüzdeki bir sayfayı yüklemeye zorlayabilirsiniz. Bu sefer kurbanın bilgi almak istediğiniz sayfaya erişmesini sağlayacaksınız (CSRF). Sayfanın içeriğine erişemezsiniz, ancak sayfanın yüklenmesi için gereken zamanı kontrol edebilirseniz ihtiyacınız olan bilgiyi çıkarabilirsiniz.
Bu sefer bir bayrak çıkarılacak, her seferinde bir karakter doğru tahmin edildiğinde SQLi aracılığıyla yanıt daha fazla zaman alır çünkü uyku fonksiyonu vardır. Ardından, bayrağı çıkarabileceksiniz:
Bu saldırı, saldırganın kullanıcıyı tarayıcının yer imi üzerine bir bağlantıyı sürükleyip bırakmaya ikna etmesi anlamına gelir. Bu yer imi, kötü niyetli javascript kodu içerecek ve sürüklenip bırakıldığında veya tıklandığında mevcut web penceresinin bağlamında çalıştırılacak, CSP'yi atlayarak çerezler veya tokenlar gibi hassas bilgileri çalmaya olanak tanıyacaktır.
Daha fazla bilgi için orijinal raporu buradan kontrol edin.
bu CTF yazısında, CSP, izin verilen bir iframe içine daha kısıtlayıcı bir CSP enjekte edilerek atlanmaktadır; bu CSP, belirli bir JS dosyasının yüklenmesine izin vermemekte ve ardından prototype pollution veya dom clobbering yoluyla farklı bir scriptin rastgele bir script yüklemesine olanak tanımaktadır.
Bir Iframe'in CSP'sini csp niteliği ile kısıtlayabilirsiniz:
bu CTF yazısı üzerinden HTML injection ile CSP'yi daha fazla kısıtlamak mümkün oldu, böylece CSTI'yi engelleyen bir script devre dışı bırakıldı ve bu nedenle açık hale geldi. CSP, HTML meta etiketleri kullanılarak daha kısıtlayıcı hale getirilebilir ve inline script'ler kaldırılarak giriş devre dışı bırakılabilir, böylece onların nonce'ları kullanılabilir ve belirli inline script'ler sha ile etkinleştirilebilir:
Eğer sunucunun Content-Security-Policy-Report-Only başlığı ile kontrol ettiğiniz bir değer ile yanıt vermesini sağlayabilirseniz (belki bir CRLF nedeniyle), bunu sunucunuza yönlendirebilir ve eğer sızdırmak istediğiniz JS içeriğini <script> ile sararsanız ve CSP tarafından unsafe-inline'in muhtemelen izin verilmediği için, bu bir CSP hatası tetikleyecek ve scriptin bir kısmı (hassas bilgileri içeren) Content-Security-Policy-Report-Only üzerinden sunucuya gönderilecektir.
Bir örnek için bu CTF yazısını kontrol edin.
CSP tarafından izin verilen bir URL'ye (bunu https://example.redirect.com olarak adlandıralım) işaret eden bir iframe oluşturulur.
Bu URL daha sonra CSP tarafından izin verilmeyen bir gizli URL'ye (örneğin, https://usersecret.example2.com) yönlendirir.
securitypolicyviolation olayını dinleyerek, blockedURI özelliğini yakalayabilirsiniz. Bu özellik, engellenen URI'nin alan adını açığa çıkararak, ilk URL'nin yönlendirdiği gizli alan adını sızdırır.
Chrome ve Firefox gibi tarayıcıların CSP ile ilgili iframeleri ele alma konusunda farklı davranışlar sergilediğini ve bu durumun tanımsız davranış nedeniyle hassas bilgilerin sızmasına yol açabileceğini belirtmek ilginçtir.
Başka bir teknik, gizli alt alan adını çıkarmak için CSP'yi istismar etmeyi içerir. Bu yöntem, belirli alan adlarını kasıtlı olarak engelleyerek CSP'yi ayarlamaya ve ikili arama algoritmasına dayanır. Örneğin, gizli alt alan adı bilinmeyen karakterlerden oluşuyorsa, CSP direktifini bu alt alan adlarını engellemek veya izin vermek için değiştirerek farklı alt alan adlarını yinelemeli olarak test edebilirsiniz. İşte bu yöntemi kolaylaştırmak için CSP'nin nasıl ayarlanabileceğini gösteren bir kesit:
CSP tarafından hangi isteklerin engellendiğini veya izin verildiğini izleyerek, gizli alt alan adındaki olası karakterleri daraltabilir ve nihayetinde tam URL'yi ortaya çıkarabilirsiniz.
Her iki yöntem de CSP uygulamasının ve tarayıcılardaki davranışının inceliklerini kullanarak, görünüşte güvenli politikaların istemeden hassas bilgileri sızdırabileceğini göstermektedir.
buradan bir hile.
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking Insights Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
Bu videoda yorumlanan son teknik göre, çok fazla parametre göndermek (1001 GET parametresi, ancak POST parametreleriyle ve 20'den fazla dosyayla da yapabilirsiniz). PHP web kodunda tanımlı olan header() gönderilmeyecek çünkü bu bir hata tetikleyecektir.
PHP, varsayılan olarak yanıtı 4096 bayt olarak tamponlama ile bilinir. Bu nedenle, PHP bir uyarı gösteriyorsa, uyarıların içine yeterli veri sağlayarak, yanıt CSP başlığından önce gönderilecektir, bu da başlığın göz ardı edilmesine neden olur. Sonra, teknik esasen CSP başlığının gönderilmemesi için yanıt tamponunu uyarılarla doldurmaktan ibarettir.
bu yazıdan bir fikir.
bu yazıdan anlaşıldığına göre, bir hata sayfasını (potansiyel olarak CSP olmadan) yükleyerek ve içeriğini yeniden yazarak bir CSP korumasını aşmak mümkün görünmektedir.
SOME, bir sayfanın uç noktasında bir XSS (veya çok sınırlı XSS) istismar eden bir tekniktir. Bu, saldırgan sayfasından savunmasız uç noktasını yükleyerek ve ardından istismar etmek istediğiniz aynı kök üzerindeki gerçek uç noktaya saldırgan sayfasını yenileyerek yapılır. Bu şekilde savunmasız uç nokta, payload içindeki opener nesnesini kullanarak istismar etmek için gerçek uç noktanın DOM'una erişebilir. Daha fazla bilgi için kontrol edin:
Ayrıca, wordpress'te /wp-json/wp/v2/users/1?_jsonp=data adresinde verileri çıktıda yansıtan bir JSONP uç noktası bulunmaktadır (yalnızca harf, rakam ve noktalarla sınırlıdır).
Bir saldırgan, bu uç noktasını WordPress'e karşı bir SOME saldırısı oluşturmak için istismar edebilir ve bunu <script src=/wp-json/wp/v2/users/1?_jsonp=some_attack></script> içine gömerek kullanabilir; bu script 'self' tarafından izin verildiği için yüklenir. Ayrıca, WordPress yüklü olduğu için, bir saldırgan CSP'yi atlayan savunmasız callback uç noktası aracılığıyla SOME saldırısını istismar edebilir ve bir kullanıcıya daha fazla ayrıcalık vermek, yeni bir eklenti yüklemek...
Bu saldırıyı nasıl gerçekleştireceğiniz hakkında daha fazla bilgi için https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/ adresini kontrol edin.
Eğer dış sunucularla etkileşimde bulunmanıza izin vermeyen katı bir CSP varsa, bilgileri dışarı aktarmak için her zaman yapabileceğiniz bazı şeyler vardır.
Sadece konumu güncelleyerek saldırganın sunucusuna gizli bilgileri gönderebilirsiniz:
Bir meta etiketi enjekte ederek yönlendirme yapabilirsiniz (bu sadece bir yönlendirmedir, bu içerik sızdırmaz)
Sayfaları daha hızlı yüklemek için, tarayıcılar ana bilgisayar adlarını IP adreslerine önceden çözümleyecek ve bunları daha sonra kullanmak üzere önbelleğe alacak.
Bir tarayıcıya bir ana bilgisayar adını önceden çözümlemesi için şunu belirtebilirsiniz: <link rel="dns-prefetch" href="something.com">
Bu davranışı DNS istekleri aracılığıyla hassas bilgileri sızdırmak için kötüye kullanabilirsiniz:
Başka bir yol:
Bu durumun yaşanmaması için sunucu şu HTTP başlığını gönderebilir:
Görünüşe göre, bu teknik başsız tarayıcılarda (botlar) çalışmıyor.
Birçok sayfada WebRTC'nin CSP'nin connect-src politikasını kontrol etmediğini okuyabilirsiniz.
Aslında, bir DNS isteği kullanarak bilgiler sızdırabilirsiniz. Bu koda bir göz atın:
Başka bir seçenek:
https://csper.io/docs/generating-content-security-policy
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
```html ```
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
