XSSI (Cross-Site Script Inclusion)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cross-Site Script Inclusion (XSSI), HTML'deki script
etiketinin doğasından kaynaklanan bir güvenlik açığıdır. Çoğu kaynağın Same-Origin Policy (SOP)'ye tabi olmasının aksine, script'ler farklı alanlardan dahil edilebilir. Bu davranış, farklı sunucularda barındırılan kütüphanelerin ve diğer kaynakların kullanımını kolaylaştırmak için tasarlanmıştır, ancak aynı zamanda potansiyel bir güvenlik riski de taşır.
SOP'yi Aşma: Script'ler Same-Origin Policy'den muaf tutulur, bu da onların farklı alanlar arasında dahil edilmesine olanak tanır.
Veri Açığa Çıkma: Bir saldırgan, bu davranışı kullanarak script
etiketi aracılığıyla yüklenen verileri okuyabilir.
Dinamik JavaScript/JSONP Üzerindeki Etki: XSSI, özellikle dinamik JavaScript veya JSON with Padding (JSONP) için geçerlidir. Bu teknolojiler genellikle kimlik doğrulama için "ambient-authority" bilgilerini (çerezler gibi) kullanır. Farklı bir ana bilgisayara script isteği yapıldığında, bu kimlik bilgileri (örneğin, çerezler) isteğe otomatik olarak dahil edilir.
Kimlik Doğrulama Token'ı Sızıntısı: Bir saldırgan, bir kullanıcının tarayıcısını kontrol ettikleri bir sunucudan script istemeye kandırabilirse, bu isteklere dahil olan hassas bilgilere erişebilir.
Statik JavaScript - Bu, XSSI'nin geleneksel formunu temsil eder.
Kimlik Doğrulama ile Statik JavaScript - Bu tür, erişim için kimlik doğrulama gerektirdiği için farklıdır.
Dinamik JavaScript - Dinamik olarak içerik üreten JavaScript'i içerir.
JavaScript Olmayan - Doğrudan JavaScript içermeyen güvenlik açıklarını ifade eder.
Aşağıdaki bilgiler https://www.scip.ch/en/?labs.20160414 adresinin bir özetidir. Daha fazla ayrıntı için kontrol edin.
Bu yaklaşımda, özel bilgiler genel olarak erişilebilir bir JavaScript dosyasına gömülmüştür. Saldırganlar, dosya okuma, anahtar kelime arama veya düzenli ifadeler gibi yöntemler kullanarak bu dosyaları tespit edebilir. Bulunduktan sonra, özel bilgileri içeren script, kötü niyetli içeriklere dahil edilerek hassas verilere yetkisiz erişim sağlanabilir. Aşağıda bir örnek istismar tekniği gösterilmektedir:
Bu tür XSSI saldırıları, bir kullanıcının isteğine yanıt olarak gizli bilgilerin dinamik olarak script'e eklenmesini içerir. Tespit, çerezlerle ve çerez olmadan istekler göndererek ve yanıtları karşılaştırarak yapılabilir. Eğer bilgiler farklıysa, bu gizli bilgilerin varlığını gösterebilir. Bu süreç, DetectDynamicJS Burp eklentisi gibi araçlar kullanılarak otomatikleştirilebilir.
Eğer gizli veriler bir global değişkende saklanıyorsa, bu, Regular XSSI'de kullanılan benzer yöntemlerle istismar edilebilir. Ancak, eğer gizli veriler bir JSONP yanıtında yer alıyorsa, saldırganlar bilgiyi almak için geri çağırma fonksiyonunu ele geçirebilir. Bu, ya global nesneleri manipüle ederek ya da JSONP yanıtı tarafından yürütülecek bir fonksiyon kurarak yapılabilir, aşağıda gösterildiği gibi:
Global ad alanında yer almayan değişkenler için, prototype tampering bazen istismar edilebilir. Bu teknik, JavaScript'in tasarımını kullanır; burada kod yorumlaması, çağrılan özelliği bulmak için prototip zincirini geçmeyi içerir. Belirli fonksiyonları, örneğin Array
'nin slice
fonksiyonunu geçersiz kılarak, saldırganlar global olmayan değişkenlere erişebilir ve leak edebilir:
Daha fazla bilgiye, Sebastian Lekies adlı Güvenlik Araştırmacısının çalışmalarında ulaşılabilir; kendisi bir vektörler listesi tutmaktadır.
Takeshi Terada'nın araştırması, Non-Script dosyalarının, CSV gibi, script
etiketinde kaynak olarak dahil edilerek cross-origin olarak sızdırıldığı başka bir XSSI biçimini tanıtmaktadır. Jeremiah Grossman’ın 2006 yılında tam bir Google adres defterini okumak için yaptığı saldırı ve Joe Walker’ın 2007 JSON veri sızıntısı gibi tarihsel XSSI örnekleri, bu tehditlerin ciddiyetini vurgulamaktadır. Ayrıca, Gareth Heyes, belirli tarayıcılarda etkili olan JSON formatından kaçmak ve script'leri çalıştırmak için UTF-7 kodlu JSON içeren bir saldırı varyantını tanımlamaktadır:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)