XS-Search/XS-Leaks
Last updated
Last updated
Використовуйте ****, щоб легко створювати та автоматизувати робочі процеси, підтримувані найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
XS-Search — це метод, що використовується для витягування інформації з крос-доменів, використовуючи вразливості бічного каналу.
Ключові компоненти, залучені в цю атаку, включають:
Вразливий веб: Цільовий вебсайт, з якого планується витягнення інформації.
Веб атакуючого: Зловмисний вебсайт, створений атакуючим, який відвідує жертва, що містить експлойт.
Метод включення: Техніка, що використовується для включення Вразливого вебу в Веб атакуючого (наприклад, window.open, iframe, fetch, HTML тег з href тощо).
Техніка витоку: Техніки, що використовуються для визначення відмінностей у стані Вразливого вебу на основі інформації, зібраної через метод включення.
Стан: Два потенційні стани Вразливого вебу, які атакуючий намагається розрізнити.
Виявлені відмінності: Спостережувані варіації, на які атакуючий покладається, щоб зробити висновок про стан Вразливого вебу.
Кілька аспектів можна проаналізувати, щоб відрізнити стани Вразливого вебу:
Код статусу: Відрізнення між різними кодами статусу HTTP крос-домен, такими як помилки сервера, помилки клієнта або помилки аутентифікації.
Використання API: Визначення використання веб-API на різних сторінках, що показує, чи використовує крос-домена сторінка конкретний JavaScript веб-API.
Перенаправлення: Виявлення навігацій на різні сторінки, не лише HTTP перенаправлень, але й тих, що викликані JavaScript або HTML.
Вміст сторінки: Спостереження за варіаціями в тілі відповіді HTTP або в підресурсах сторінки, таких як кількість вбудованих фреймів або розмірні відмінності в зображеннях.
HTTP заголовок: Зазначення наявності або, можливо, значення конкретного заголовка відповіді HTTP, включаючи заголовки, такі як X-Frame-Options, Content-Disposition та Cross-Origin-Resource-Policy.
Час: Звернення уваги на постійні часові відмінності між двома станами.
HTML елементи: HTML пропонує різні елементи для включення ресурсів з крос-доменів, такі як таблиці стилів, зображення або скрипти, змушуючи браузер запитувати не-HTML ресурс. Збірка потенційних HTML елементів для цієї мети доступна за адресою https://github.com/cure53/HTTPLeaks.
Фрейми: Елементи, такі як iframe, object та embed, можуть вбудовувати HTML ресурси безпосередньо в сторінку атакуючого. Якщо сторінка не має захисту від фреймів, JavaScript може отримати доступ до об'єкта вікна вбудованого ресурсу через властивість contentWindow.
Спливаючі вікна: Метод window.open
відкриває ресурс у новій вкладці або вікні, надаючи доступ до вікна для JavaScript для взаємодії з методами та властивостями відповідно до SOP. Спливаючі вікна, які часто використовуються в одноразовій аутентифікації, обходять обмеження фреймів і куків цільового ресурсу. Однак сучасні браузери обмежують створення спливаючих вікон до певних дій користувача.
Запити JavaScript: JavaScript дозволяє прямі запити до цільових ресурсів, використовуючи XMLHttpRequests або Fetch API. Ці методи пропонують точний контроль над запитом, наприклад, можливість слідувати HTTP перенаправленням.
Обробник подій: Класична техніка витоку в XS-Leaks, де обробники подій, такі як onload та onerror, надають інформацію про успішність або невдачу завантаження ресурсу.
Повідомлення про помилки: Винятки JavaScript або спеціальні сторінки помилок можуть надавати інформацію про витік або безпосередньо з повідомлення про помилку, або шляхом розрізнення між її наявністю та відсутністю.
Глобальні обмеження: Фізичні обмеження браузера, такі як обсяг пам'яті або інші накладені обмеження браузера, можуть сигналізувати, коли досягається поріг, слугуючи технікою витоку.
Глобальний стан: Виявлені взаємодії з глобальними станами браузерів (наприклад, інтерфейс історії) можуть бути використані. Наприклад, кількість записів в історії браузера може надати підказки про крос-домени сторінки.
Performance API: Цей API надає деталі продуктивності поточної сторінки, включаючи мережевий час для документа та завантажених ресурсів, що дозволяє робити висновки про запитувані ресурси.
Читабельні атрибути: Деякі HTML атрибути є читабельними з крос-доменів і можуть бути використані як техніка витоку. Наприклад, властивість window.frame.length
дозволяє JavaScript підраховувати фрейми, включені в веб-сторінку з крос-доменів.
XSinator — це автоматичний інструмент для перевірки браузерів на наявність кількох відомих XS-Leaks, пояснених у його документі: https://xsinator.com/paper.pdf
Ви можете отримати доступ до інструменту за адресою https://xsinator.com/
Виключені XS-Leaks: Нам довелося виключити XS-Leaks, які покладаються на сервісні працівники, оскільки вони можуть заважати іншим витокам у XSinator. Крім того, ми вирішили виключити XS-Leaks, які покладаються на неправильну конфігурацію та помилки в конкретному веб-додатку. Наприклад, неправильна конфігурація Cross-Origin Resource Sharing (CORS), витік postMessage або міжсайтовий скриптинг. Додатково, ми виключили XS-Leaks на основі часу, оскільки вони часто страждають від повільності, шуму та неточності.
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, підтримувані найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Деякі з наступних технік будуть використовувати час як частину процесу для виявлення відмінностей у можливих станах веб-сторінок. Існують різні способи вимірювання часу в веб-браузері.
Годинники: API performance.now() дозволяє розробникам отримувати вимірювання часу з високою роздільною здатністю. Існує значна кількість API, які атакуючі можуть зловживати для створення неявних годинників: Broadcast Channel API, Message Channel API, requestAnimationFrame, setTimeout, CSS анімації та інші. Для отримання додаткової інформації: https://xsleaks.dev/docs/attacks/timing-attacks/clocks.
Методи включення: Фрейми, HTML елементи
Виявлена відмінність: Код статусу
Резюме: якщо намагатися завантажити ресурс, події onerror/onload спрацьовують, коли ресурс завантажено успішно/неуспішно, можна з'ясувати код статусу.
Приклад коду намагається завантажити об'єкти скриптів з JS, але інші теги, такі як об'єкти, таблиці стилів, зображення, аудіо, також можуть бути використані. Більше того, також можливо безпосередньо вставити тег і оголосити події onload
та onerror
всередині тега (замість того, щоб вставляти його з JS).
Існує також версія цієї атаки без скриптів:
У цьому випадку, якщо example.com/404
не знайдено, буде завантажено attacker.com/?error
.
Методи включення: HTML елементи
Виявна різниця: Час (зазвичай через вміст сторінки, код статусу)
Резюме: performance.now() API може бути використано для вимірювання часу, необхідного для виконання запиту. Однак можуть бути використані й інші годинники, такі як PerformanceLongTaskTiming API, який може ідентифікувати завдання, що виконуються більше 50 мс.
Приклад коду: https://xsleaks.dev/docs/attacks/timing-attacks/network-timing/#onload-events інший приклад у:
Ця техніка схожа на попередню, але зловмисник також примусить деяку дію зайняти відповідну кількість часу, коли відповідь позитивна або негативна, і вимірює цей час.
Методи включення: Фрейми
Виявна різниця: Час (зазвичай через вміст сторінки, код статусу)
Резюме: Годинник SharedArrayBuffer може бути використано для вимірювання часу, необхідного для виконання запиту. Можуть бути використані й інші годинники.
Час, витрачений на отримання ресурсу, можна виміряти, використовуючи події unload
та beforeunload
. Подія beforeunload
спрацьовує, коли браузер збирається перейти на нову сторінку, тоді як подія unload
відбувається, коли навігація фактично відбувається. Часова різниця між цими двома подіями може бути обчислена для визначення тривалості, яку браузер витратив на отримання ресурсу.
Методи включення: Фрейми
Виявна різниця: Час (зазвичай через вміст сторінки, код статусу)
Резюме: performance.now() API може бути використано для вимірювання часу, необхідного для виконання запиту. Можуть бути використані й інші годинники.
Було помічено, що за відсутності Framing Protections час, необхідний для завантаження сторінки та її підресурсів через мережу, може бути виміряний зловмисником. Це вимірювання зазвичай можливе, оскільки обробник onload
iframe спрацьовує лише після завершення завантаження ресурсів і виконання JavaScript. Щоб обійти варіативність, введену виконанням скриптів, зловмисник може використовувати атрибут sandbox
у <iframe>
. Включення цього атрибута обмежує численні функціональності, зокрема виконання JavaScript, що полегшує вимірювання, яке переважно залежить від продуктивності мережі.
Inclusion Methods: Frames
Detectable Difference: Page Content
More info:
Summary: Якщо ви можете викликати помилку на сторінці, коли доступ до правильного контенту, і змусити її завантажуватися правильно, коли доступ до будь-якого контенту, тоді ви можете створити цикл для витягування всієї інформації без вимірювання часу.
Code Example:
Припустимо, що ви можете вставити сторінку, яка має секретний контент всередину Iframe.
Ви можете змусити жертву шукати файл, який містить "flag", використовуючи Iframe (експлуатуючи CSRF, наприклад). Всередині Iframe ви знаєте, що подія onload буде виконана завжди принаймні один раз. Тоді ви можете змінити URL iframe, змінюючи лише вміст hash в URL.
Наприклад:
URL1: www.attacker.com/xssearch#try1
URL2: www.attacker.com/xssearch#try2
Якщо перший URL був успішно завантажений, тоді, при зміні частини hash URL, подія onload не буде знову викликана. Але якщо на сторінці була якась помилка під час завантаження, тоді подія onload буде викликана знову.
Тоді ви можете відрізнити між правильно завантаженою сторінкою або сторінкою, яка має помилку при доступі.
Inclusion Methods: Frames
Detectable Difference: Page Content
More info:
Summary: Якщо сторінка повертає чутливий контент, або контент, який може бути контрольований користувачем. Користувач може встановити дійсний JS код у негативному випадку, завантажуючи кожну спробу всередині <script>
тегів, так що в негативних випадках код зловмисника буде виконаний, а в позитивних випадках нічого не буде виконано.
Code Example:
Inclusion Methods: HTML Elements
Detectable Difference: Status Code & Headers
Summary: Cross-Origin Read Blocking (CORB) є заходом безпеки, який запобігає завантаженню певних чутливих крос-доменних ресурсів, щоб захистити від атак, таких як Spectre. Однак зловмисники можуть експлуатувати його захисну поведінку. Коли відповідь, що підлягає CORB, повертає захищений CORB Content-Type
з nosniff
і статус-кодом 2xx
, CORB видаляє тіло та заголовки відповіді. Зловмисники, які спостерігають це, можуть зробити висновок про комбінацію статус-коду (який вказує на успіх або помилку) і Content-Type
(який вказує, чи захищений він CORB), що може призвести до потенційного витоку інформації.
Code Example:
Перевірте посилання на більше інформації про атаку.
Inclusion Methods: Frames
Detectable Difference: Page Content
Summary: Витік чутливих даних з атрибута id або name.
Можливо завантажити сторінку всередині iframe і використовувати #id_value
, щоб змусити сторінку зосередитися на елементі iframe з вказаним id, тоді, якщо сигнал onblur
буде викликаний, елемент ID існує.
Ви можете виконати ту ж атаку з portal
тегами.
Inclusion Methods: Frames, Pop-ups
Detectable Difference: API Usage
Summary: Збирати чутливу інформацію з postMessage або використовувати наявність postMessages як оракул, щоб дізнатися статус користувача на сторінці
Code Example: Any code listening for all postMessages.
Додатки часто використовують postMessage
broadcasts для спілкування між різними джерелами. Однак цей метод може ненавмисно розкрити чутливу інформацію, якщо параметр targetOrigin
не вказаний належним чином, що дозволяє будь-якому вікну отримувати повідомлення. Більше того, сам факт отримання повідомлення може діяти як оракул; наприклад, певні повідомлення можуть надсилатися лише користувачам, які увійшли в систему. Отже, наявність або відсутність цих повідомлень може розкрити інформацію про стан або особу користувача, наприклад, чи аутентифікований він чи ні.
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, що працюють на основі найсучасніших інструментів спільноти. Отримайте доступ сьогодні:
Inclusion Methods: Frames, Pop-ups
Detectable Difference: API Usage
More info: https://xsinator.com/paper.pdf (5.1)
Summary: Витрата ліміту з'єднань WebSocket розкриває кількість з'єднань WebSocket крос-доменної сторінки.
Можливо визначити, чи і скільки з'єднань WebSocket використовує цільова сторінка. Це дозволяє зловмиснику виявити стани програми та витік інформації, пов'язаної з кількістю з'єднань WebSocket.
Якщо один джерело використовує максимальну кількість об'єктів з'єднання WebSocket, незалежно від їх стану з'єднання, створення нових об'єктів призведе до виключень JavaScript. Щоб виконати цю атаку, веб-сайт зловмисника відкриває цільовий веб-сайт у спливаючому вікні або iframe, а потім, після завантаження цільового веб-сайту, намагається створити максимальну кількість з'єднань WebSocket. Кількість викинутих виключень є кількістю з'єднань WebSocket, які використовує вікно цільового веб-сайту.
Inclusion Methods: Frames, Pop-ups
Detectable Difference: API Usage
More info: https://xsinator.com/paper.pdf (5.1)
Summary: Виявлення запиту на оплату, оскільки лише один може бути активним одночасно.
Code Example: https://xsinator.com/testing.html#Payment%20API%20Leak
Цей XS-Leak дозволяє зловмиснику виявити, коли крос-домена сторінка ініціює запит на оплату.
Оскільки лише один запит на оплату може бути активним одночасно, якщо цільовий веб-сайт використовує API запиту на оплату, будь-які подальші спроби використати цей API зазнають невдачі** і викличуть виключення JavaScript. Зловмисник може експлуатувати це, періодично намагаючись показати інтерфейс API оплати. Якщо одна спроба викликає виключення, цільовий веб-сайт в даний момент його використовує. Зловмисник може приховати ці періодичні спроби, негайно закриваючи інтерфейс після створення.
Inclusion Methods:
Detectable Difference: Timing (generally due to Page Content, Status Code)
Summary: Вимірювання часу виконання веб-операції, зловживаючи однопотоковим циклом подій JS.
Code Example:
JavaScript працює на однопотоковій моделі конкуренції циклу подій, що означає, що він може виконувати лише одне завдання за раз. Цю характеристику можна експлуатувати для оцінки того, скільки часу потрібно коду з іншого джерела для виконання. Зловмисник може виміряти час виконання свого коду в циклі подій, постійно відправляючи події з фіксованими властивостями. Ці події будуть оброблені, коли пул подій буде порожнім. Якщо інші джерела також відправляють події в той же пул, зловмисник може вивести час, який потрібен для виконання цих зовнішніх подій, спостерігаючи затримки в виконанні своїх власних завдань. Цей метод моніторингу циклу подій на затримки може розкрити час виконання коду з різних джерел, потенційно розкриваючи чутливу інформацію.
У вимірюванні часу виконання можливо усунути мережеві фактори, щоб отримати більш точні вимірювання. Наприклад, завантажуючи ресурси, які використовуються сторінкою, перед її завантаженням.
Inclusion Methods:
Detectable Difference: Timing (generally due to Page Content, Status Code)
Summary: Один із методів вимірювання часу виконання веб-операції полягає в навмисному блокуванні циклу подій потоку, а потім вимірюванні того, скільки часу потрібно, щоб цикл подій знову став доступним. Вставивши блокуючу операцію (таку як тривале обчислення або синхронний виклик API) в цикл подій і контролюючи час, який потрібен для початку виконання наступного коду, можна вивести тривалість завдань, які виконувалися в циклі подій під час блокуючого періоду. Ця техніка використовує однопоточну природу циклу подій JavaScript, де завдання виконуються послідовно, і може надати уявлення про продуктивність або поведінку інших операцій, які ділять той же потік.
Code Example:
Значною перевагою техніки вимірювання часу виконання шляхом блокування циклу подій є її потенціал обходити Site Isolation. Site Isolation є функцією безпеки, яка розділяє різні веб-сайти на окремі процеси, щоб запобігти зловмисним сайтам від прямого доступу до чутливих даних з інших сайтів. Однак, впливаючи на час виконання іншого джерела через спільний цикл подій, зловмисник може непрямо витягти інформацію про діяльність цього джерела. Цей метод не покладається на прямий доступ до даних іншого джерела, а скоріше спостерігає за впливом діяльності цього джерела на спільний цикл подій, таким чином ухиляючись від захисних бар'єрів, встановлених Site Isolation.
У вимірюванні часу виконання можливо усунути мережеві фактори, щоб отримати більш точні вимірювання. Наприклад, завантажуючи ресурси, які використовуються сторінкою, перед її завантаженням.
Inclusion Methods: JavaScript Requests
Detectable Difference: Timing (generally due to Page Content, Status Code)
Summary: Зловмисник може заблокувати всі сокети, крім 1, завантажити цільовий веб-сайт і одночасно завантажити іншу сторінку, час до початку завантаження останньої сторінки є часом, який цільова сторінка витратила на завантаження.
Code Example:
Браузери використовують сокети для зв'язку з сервером, але через обмежені ресурси операційної системи та апаратного забезпечення браузери змушені накладати обмеження на кількість одночасних сокетів. Зловмисники можуть експлуатувати це обмеження через наступні кроки:
Визначити ліміт сокетів браузера, наприклад, 256 глобальних сокетів.
Зайняти 255 сокетів на тривалий час, ініціюючи 255 запитів до різних хостів, призначених для підтримки з'єднань відкритими без завершення.
Використати 256-й сокет для надсилання запиту до цільової сторінки.
Спробувати 257-й запит до іншого хоста. Оскільки всі сокети зайняті (згідно з кроками 2 і 3), цей запит буде поставлений в чергу, поки не з'явиться доступний сокет. Затримка перед тим, як цей запит продовжиться, надає зловмиснику інформацію про час, пов'язану з мережею, що стосується 256-го сокета (сокета цільової сторінки). Це припущення можливе, оскільки 255 сокетів з кроку 2 все ще зайняті, що означає, що будь-який новий доступний сокет повинен бути звільнений з кроку 3. Час, необхідний для того, щоб 256-й сокет став доступним, таким чином безпосередньо пов'язаний з часом, необхідним для завершення запиту до цільової сторінки.
Для отримання додаткової інформації: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/
Inclusion Methods: JavaScript Requests
Detectable Difference: Timing (generally due to Page Content, Status Code)
More info:
Summary: Це як попередня техніка, але замість використання всіх сокетів, Google Chrome накладає обмеження на 6 одночасних запитів до одного джерела. Якщо ми заблокуємо 5 і потім запустимо 6-й запит, ми можемо виміряти його, і якщо нам вдалося змусити сторінку жертви надіслати більше запитів до одного й того ж кінцевого пункту, щоб виявити статус сторінки, 6-й запит займе більше часу, і ми можемо це виявити.
Performance API
пропонує інформацію про показники продуктивності веб-додатків, додатково збагачену Resource Timing API
. Resource Timing API дозволяє моніторити детальні часи запитів в мережі, такі як тривалість запитів. Особливо, коли сервери включають заголовок Timing-Allow-Origin: *
у своїх відповідях, стає доступною додаткова інформація, така як розмір передачі та час пошуку домену.
Ці дані можна отримати за допомогою методів, таких як performance.getEntries
або performance.getEntriesByName
, що надає всебічний огляд інформації, пов'язаної з продуктивністю. Крім того, API полегшує вимірювання часу виконання, обчислюючи різницю між часовими мітками, отриманими з performance.now()
. Однак варто зазначити, що для певних операцій у браузерах, таких як Chrome, точність performance.now()
може бути обмежена до мілісекунд, що може вплинути на детальність вимірювань часу.
Окрім вимірювань часу, Performance API можна використовувати для отримання інформації, пов'язаної з безпекою. Наприклад, наявність або відсутність сторінок в об'єкті performance
у Chrome може вказувати на застосування X-Frame-Options
. Зокрема, якщо сторінка заблокована від відображення в фреймі через X-Frame-Options
, вона не буде зафіксована в об'єкті performance
, що надає тонкий натяк на політику фреймування сторінки.
Inclusion Methods: Frames, HTML Elements
Detectable Difference: Status Code
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Запит, що призводить до помилок, не створить запису часу ресурсу.
Можливо відрізнити між статус-кодами HTTP, оскільки запити, які призводять до помилки, не створюють запису продуктивності.
Inclusion Methods: HTML Elements
Detectable Difference: Status Code
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Через помилку браузера запити, що призводять до помилок, завантажуються двічі.
У попередній техніці також було виявлено два випадки, коли помилки браузера в GC призводять до завантаження ресурсів двічі, коли вони не можуть завантажитися. Це призведе до кількох записів у Performance API і, отже, може бути виявлено.
Inclusion Methods: HTML Elements
Detectable Difference: Status Code
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Запити, що призводять до помилки, не можуть бути об'єднані.
Техніка була знайдена в таблиці в згаданій статті, але опис техніки в ній не був знайдений. Однак ви можете знайти вихідний код, перевіряючи його на https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak
Inclusion Methods: Frames
Detectable Difference: Page Content
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Порожні відповіді не створюють записи часу ресурсу.
Зловмисник може виявити, чи запит призвів до порожнього тіла HTTP-відповіді, оскільки порожні сторінки не створюють запису продуктивності в деяких браузерах.
Inclusion Methods: Frames
Detectable Difference: Page Content
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Використовуючи XSS Auditor в Security Assertions, зловмисники можуть виявити конкретні елементи веб-сторінки, спостерігаючи за змінами у відповідях, коли створені корисні навантаження активують механізм фільтрації аудитора.
У Security Assertions (SA) XSS Auditor, спочатку призначений для запобігання атакам Cross-Site Scripting (XSS), може парадоксально бути використаний для витоку чутливої інформації. Хоча ця вбудована функція була видалена з Google Chrome (GC), вона все ще присутня в SA. У 2013 році Браун і Хайдеріх продемонстрували, що XSS Auditor може ненавмисно блокувати законні скрипти, що призводить до хибних позитивів. Спираючись на це, дослідники розробили техніки для витягування інформації та виявлення конкретного контенту на крос-доменных сторінках, концепція, відома як XS-Leaks, спочатку повідомлена Терадою та розроблена Хейзом у блозі. Хоча ці техніки були специфічні для XSS Auditor в GC, було виявлено, що в SA сторінки, заблоковані XSS Auditor, не генерують записи в Performance API, що розкриває метод, за допомогою якого чутлива інформація все ще може бути витікана.
Inclusion Methods: Frames
Detectable Difference: Header
Summary: Ресурс з заголовком X-Frame-Options не створює запису часу ресурсу.
Якщо сторінка не дозволена бути відображеною в iframe, вона не створює запису продуктивності. Як результат, зловмисник може виявити заголовок відповіді X-Frame-Options
.
Те ж саме відбувається, якщо ви використовуєте embed тег.
Inclusion Methods: Frames
Detectable Difference: Header
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Завантаження не створюють записи часу ресурсу в Performance API.
Подібно до описаного XS-Leak, ресурс, що завантажується через заголовок ContentDisposition, також не створює запису продуктивності. Ця техніка працює у всіх основних браузерах.
Inclusion Methods: Frames
Detectable Difference: Redirect
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Запис часу ресурсу витікає час початку перенаправлення.
Ми знайшли один випадок XS-Leak, який зловживає поведінкою деяких браузерів, які реєструють занадто багато інформації для крос-доменных запитів. Стандарт визначає підмножину атрибутів, які повинні бути встановлені на нуль для крос-доменных ресурсів. Однак у SA можливо виявити, чи користувач перенаправлений цільовою сторінкою, запитуючи Performance API та перевіряючи дані часу redirectStart.
Inclusion Methods: Fetch API
Detectable Difference: Redirect
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Тривалість записів часу є негативною, коли відбувається перенаправлення.
У GC тривалість для запитів, що призводять до перенаправлення, є негативною і, отже, може бути відрізнена від запитів, які не призводять до перенаправлення.
Inclusion Methods: Frames
Detectable Difference: Header
More info: https://xsinator.com/paper.pdf (5.2)
Summary: Ресурс, захищений CORP, не створює записів часу ресурсу.
В деяких випадках запис nextHopProtocol може бути використаний як техніка витоку. У GC, коли заголовок CORP встановлений, nextHopProtocol буде порожнім. Зверніть увагу, що SA взагалі не створить запису продуктивності для ресурсів, активованих CORP.
Inclusion Methods: Frames
Detectable Difference: API Usage
Summary: Виявлення, чи зареєстровано сервісний робітник для конкретного джерела.
Code Example:
Сервісні робітники є контекстами скриптів, що реагують на події, які працюють на джерелі. Вони працюють у фоновому режимі веб-сторінки та можуть перехоплювати, змінювати та кешувати ресурси, щоб створити офлайн веб-додаток. Якщо ресурс, кешований сервісним робітником, доступний через iframe, ресурс буде завантажено з кешу сервісного робітника. Щоб виявити, чи ресурс був завантажений з кешу сервісного робітника, можна використовувати Performance API. Це також можна зробити за допомогою атаки на час (перевірте статтю для отримання додаткової інформації).
Inclusion Methods: Fetch API
Detectable Difference: Timing
Summary: Можливо перевірити, чи ресурс зберігається в кеші.
Використовуючи Performance API, можливо перевірити, чи ресурс кешується.
Inclusion Methods: Fetch API
Detectable Difference: Page Content
Summary: Можливо отримати тривалість мережі запиту з API performance
.
Inclusion Methods: HTML Elements (Video, Audio)
Detectable Difference: Status Code
Summary: У Firefox можливо точно витікати статус-код крос-доменного запиту.
Code Example: https://jsbin.com/nejatopusi/1/edit?html,css,js,output
Inclusion Methods: Frames, Pop-ups
Detectable Difference: Page Content
Summary: Оцінка кількості елементів iframe шляхом перевірки властивості window.length
.
Code Example: https://xsinator.com/testing.html#Frame%20Count%20Leak
Підрахунок кількості фреймів у веб відкритих через iframe
або window.open
може допомогти визначити статус користувача на цій сторінці.
Більше того, якщо на сторінці завжди однакова кількість фреймів, постійна перевірка кількості фреймів може допомогти виявити шаблон, який може витікати інформацію.
Прикладом цієї техніки є те, що в Chrome PDF може бути виявлений за допомогою підрахунку фреймів, оскільки всередині використовується embed
. Існують Open URL Parameters, які дозволяють певний контроль над вмістом, таким як zoom
, view
, page
, toolbar
, де ця техніка може бути цікавою.
Inclusion Methods: HTML Elements
Detectable Difference: Page Content
Summary: Читання витікованого значення для розрізнення між 2 можливими станами
Витік інформації через HTML елементи є проблемою в веб-безпеці, особливо коли динамічні медіа-файли генеруються на основі інформації користувача або коли додаються водяні знаки, що змінює розмір медіа. Це може бути використано зловмисниками для розрізнення між можливими станами, аналізуючи інформацію, що розкривається певними HTML елементами.
HTMLMediaElement: Цей елемент розкриває duration
та buffered
часи медіа, які можна отримати через його API. Дізнайтеся більше про HTMLMediaElement
HTMLVideoElement: Він розкриває videoHeight
та videoWidth
. У деяких браузерах доступні додаткові властивості, такі як webkitVideoDecodedByteCount
, webkitAudioDecodedByteCount
та webkitDecodedFrameCount
, що пропонують більш детальну інформацію про вміст медіа. Дізнайтеся більше про HTMLVideoElement
getVideoPlaybackQuality(): Ця функція надає деталі про якість відтворення відео, включаючи totalVideoFrames
, що може вказувати на кількість оброблених відеоданих. Дізнайтеся більше про getVideoPlaybackQuality()
HTMLImageElement: Цей елемент витікає height
та width
зображення. Однак, якщо зображення недійсне, ці властивості повернуть 0, а функція image.decode()
буде відхилена, що вказує на невдачу в правильному завантаженні зображення. Дізнайтеся більше про HTMLImageElement
Inclusion Methods: HTML Elements
Detectable Difference: Page Content
Summary: Визначення варіацій у стилі веб-сайту, які корелюють зі станом або статусом користувача.
Code Example: https://xsinator.com/testing.html#CSS%20Property%20Leak
Веб-додатки можуть змінювати стиль веб-сайту в залежності від статусу користувача. CSS файли з крос-доменом можуть бути вбудовані на сторінці зловмисника за допомогою HTML link element, і правила будуть застосовані до сторінки зловмисника. Якщо сторінка динамічно змінює ці правила, зловмисник може виявити ці різниці в залежності від стану користувача.
Як техніка витоку, зловмисник може використовувати метод window.getComputedStyle
, щоб читати CSS властивості конкретного HTML елемента. В результаті зловмисник може читати довільні CSS властивості, якщо відомий уражений елемент і назва властивості.
Inclusion Methods: HTML Elements
Detectable Difference: Page Content
Summary: Визначити, чи стиль :visited
застосовано до URL, що вказує на те, що він вже відвідувався
Згідно з цим, це не працює в headless Chrome.
CSS селектор :visited
використовується для стилізації URL по-різному, якщо вони були раніше відвідані користувачем. У минулому метод getComputedStyle()
можна було використовувати для виявлення цих стильових відмінностей. Однак сучасні браузери впровадили заходи безпеки, щоб запобігти цьому методу виявляти стан посилання. Ці заходи включають завжди повернення обчисленого стилю так, ніби посилання було відвідане, і обмеження стилів, які можуть бути застосовані з селектором :visited
.
Незважаючи на ці обмеження, можливо непрямо розпізнати стан відвідування посилання. Одна з технік полягає в обмані користувача, щоб взаємодіяти з областю, на яку впливає CSS, зокрема використовуючи властивість mix-blend-mode
. Ця властивість дозволяє змішувати елементи з їх фоном, потенційно розкриваючи стан відвідування на основі взаємодії користувача.
Крім того, виявлення може бути досягнуто без взаємодії користувача, експлуатуючи часи рендерингу посилань. Оскільки браузери можуть рендерити відвідані та невідвідані посилання по-різному, це може ввести вимірювальну різницю в часі рендерингу. Доказ концепції (PoC) було згадано в звіті про помилку Chromium, демонструючи цю техніку, використовуючи кілька посилань для посилення різниці в часі, тим самим роблячи стан відвідування виявленим через аналіз часу.
Для отримання додаткових деталей про ці властивості та методи відвідайте їх сторінки документації:
:visited
: MDN Documentation
getComputedStyle()
: MDN Documentation
mix-blend-mode
: MDN Documentation
Inclusion Methods: Frames
Detectable Difference: Headers
Summary: У Google Chrome відображається спеціальна сторінка помилки, коли сторінка блокується від вбудовування на крос-доменному сайті через обмеження X-Frame-Options.
У Chrome, якщо сторінка з заголовком X-Frame-Options
, встановленим на "deny" або "same-origin", вбудована як об'єкт, з'являється сторінка помилки. Chrome унікально повертає порожній об'єкт документа (замість null
) для властивості contentDocument
цього об'єкта, на відміну від iframe або інших браузерів. Зловмисники можуть експлуатувати це, виявляючи порожній документ, що потенційно розкриває інформацію про стан користувача, особливо якщо розробники непослідовно встановлюють заголовок X-Frame-Options, часто ігноруючи сторінки помилок. Обізнаність та послідовне застосування заголовків безпеки є критично важливими для запобігання таким витокам.
Inclusion Methods: Frames, Pop-ups
Detectable Difference: Headers
Summary: Зловмисник може розпізнати завантаження файлів, використовуючи iframe; продовжена доступність iframe вказує на успішне завантаження файлу.
Заголовок Content-Disposition
, зокрема Content-Disposition: attachment
, інструктує браузер завантажувати вміст, а не відображати його в рядку. Цю поведінку можна експлуатувати для виявлення, чи має користувач доступ до сторінки, яка викликає завантаження файлу. У браузерах на основі Chromium існує кілька технік для виявлення цієї поведінки завантаження:
Моніторинг панелі завантаження:
Коли файл завантажується в браузерах на основі Chromium, панель завантаження з'являється внизу вікна браузера.
Моніторячи зміни у висоті вікна, зловмисники можуть зробити висновок про появу панелі завантаження, що свідчить про те, що завантаження було ініційоване.
Навігація завантаження з iframe:
Коли сторінка викликає завантаження файлу, використовуючи заголовок Content-Disposition: attachment
, це не викликає подію навігації.
Завантажуючи вміст в iframe та моніторячи події навігації, можна перевірити, чи призводить вміст до завантаження файлу (немає навігації) чи ні.
Навігація завантаження без iframe:
Подібно до техніки iframe, цей метод передбачає використання window.open
замість iframe.
Моніторинг подій навігації у нововідкритому вікні може виявити, чи було ініційоване завантаження файлу (немає навігації) або чи вміст відображається в рядку (відбувається навігація).
У сценаріях, де лише авторизовані користувачі можуть ініціювати такі завантаження, ці техніки можуть бути використані для непрямого виведення стану аутентифікації користувача на основі відповіді браузера на запит завантаження.
Inclusion Methods: Pop-ups
Detectable Difference: Timing
Summary: Зловмисник може розпізнати завантаження файлів, використовуючи iframe; продовжена доступність iframe вказує на успішне завантаження файлу.
Ось чому ця техніка цікава: Chrome тепер має розподіл кешу, і ключ кешу нововідкритої сторінки є: (https://actf.co, https://actf.co, https://sustenance.web.actf.co/?m =xxx)
, але якщо я відкрию сторінку ngrok і використаю fetch в ній, ключ кешу буде: (https://myip.ngrok.io, https://myip.ngrok.io, https://sustenance.web.actf.co/?m=xxx)
, ключ кешу різний, тому кеш не може бути спільним. Ви можете знайти більше деталей тут: Отримання безпеки та конфіденційності шляхом розподілу кешу
(Коментар з тут)
Якщо сайт example.com
включає ресурс з *.example.com/resource
, то цей ресурс матиме той же ключ кешу, як якби ресурс був безпосередньо запитаний через навігацію верхнього рівня. Це тому, що ключ кешу складається з верхнього рівня eTLD+1 та фрейму eTLD+1.
Оскільки доступ до кешу швидший, ніж завантаження ресурсу, можливо спробувати змінити місце розташування сторінки та скасувати його через 20 мс (наприклад) після. Якщо походження було змінено після зупинки, це означає, що ресурс був кешований. Або просто надіслати деякі запити до потенційно кешованої сторінки та виміряти час, який це займає.
Inclusion Methods: Fetch API
Detectable Difference: Redirects
Summary: Можливо дізнатися, чи є відповідь на запит fetch перенаправленням
Code Example:
Inclusion Methods: Fetch API
Detectable Difference: Timing
Summary: Можливо спробувати завантажити ресурс і скасувати його до того, як він буде завантажений. В залежності від того, чи виникає помилка, ресурс був або не був кешований.
Використовуйте fetch та setTimeout з AbortController, щоб виявити, чи ресурс кешується, і видалити конкретний ресурс з кешу браузера. Більше того, процес відбувається без кешування нового вмісту.
Inclusion Methods: HTML Elements (script)
Detectable Difference: Page Content
Summary: Можливо перезаписати вбудовані функції та читати їх аргументи, навіть з крос-доменного скрипту (який не може бути прочитаний безпосередньо), це може витікати цінну інформацію.
Inclusion Methods: Pop-ups
Detectable Difference: Page Content
Summary: Вимірювання часу виконання веб-додатку за допомогою сервісних працівників.
Code Example:
У даному сценарії зловмисник ініціює реєстрацію сервісного працівника в одному зі своїх доменів, зокрема "attacker.com". Далі зловмисник відкриває нове вікно на цільовому веб-сайті з основного документа та інструктує сервісного працівника розпочати таймер. Коли нове вікно починає завантажуватися, зловмисник переходить за посиланням, отриманим на попередньому етапі, на сторінку, керовану сервісним працівником.
Після надходження запиту, ініційованого на попередньому етапі, сервісний працівник відповідає статус-кодом 204 (No Content), ефективно завершуючи процес навігації. У цей момент сервісний працівник фіксує вимірювання з таймера, ініційованого раніше на другому етапі. Це вимірювання впливає на тривалість JavaScript, що викликає затримки в процесі навігації.
У вимірюванні часу виконання можливо усунути мережеві фактори, щоб отримати більш точні вимірювання. Наприклад, завантажуючи ресурси, які використовуються сторінкою, перед її завантаженням.
Inclusion Methods: Fetch API
Detectable Difference: Timing (зазвичай через вміст сторінки, статус-код)
Summary: Використовуйте performance.now(), щоб виміряти час, необхідний для виконання запиту. Можна використовувати й інші годинники.
Inclusion Methods: Pop-ups
Detectable Difference: Timing (зазвичай через вміст сторінки, статус-код)
Summary: Використовуйте performance.now(), щоб виміряти час, необхідний для виконання запиту, використовуючи window.open
. Можна використовувати й інші годинники.
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, що підтримуються найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Тут ви можете знайти техніки для ексфільтрації інформації з крос-доменного HTML ін'єкції HTML вмісту. Ці техніки цікаві в випадках, коли з будь-якої причини ви можете ін'єктувати HTML, але не можете ін'єктувати JS код.
Якщо вам потрібно ексфільтрувати вміст і ви можете додати HTML перед секретом, вам слід перевірити загальні техніки висячого розмітки. Однак, якщо з якоїсь причини ви МУСТЕ зробити це символ за символом (можливо, комунікація відбувається через кеш), ви можете використовувати цей трюк.
Зображення в HTML має атрибут "loading", значення якого може бути "lazy". У цьому випадку зображення буде завантажено, коли його переглядають, а не під час завантаження сторінки:
Тому, що ви можете зробити, це додати багато сміттєвих символів (наприклад, тисячі "W") для заповнення веб-сторінки перед секретом або додати щось на кшталт <br><canvas height="1850px"></canvas><br>.
Тоді, якщо, наприклад, наша ін'єкція з'явиться перед прапором, зображення буде завантажено, але якщо з'явиться після прапора, прапор + сміття перешкодять його завантаженню (вам потрібно буде експериментувати з кількістю сміття, яке потрібно розмістити). Це сталося в цьому звіті.
Інший варіант - використовувати scroll-to-text-fragment, якщо це дозволено:
Однак, ви змушуєте бота отримати доступ до сторінки з чимось на кшталт
Отже, веб-сторінка буде виглядати приблизно так: https://victim.com/post.html#:~:text=SECR
Де post.html містить сміттєві символи атакуючого та зображення з лінивою завантаженням, а потім додається секрет бота.
Цей текст змусить бота отримати доступ до будь-якого тексту на сторінці, що містить текст SECR
. Оскільки цей текст є секретом і він знаходиться безпосередньо під зображенням, зображення завантажиться лише якщо вгаданий секрет правильний. Отже, у вас є ваш оракул для екстракції секрету символ за символом.
Приклад коду для експлуатації цього: https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e
Якщо неможливо завантажити зовнішнє зображення, що могло б вказати атакуючому, що зображення було завантажено, іншим варіантом буде спробувати вгадати символ кілька разів і виміряти це. Якщо зображення завантажено, всі запити займатимуть більше часу, ніж якщо зображення не завантажено. Це було використано в рішенні цього опису підсумованому тут:
Якщо використовується jQuery(location.hash)
, можна дізнатися через таймінг чи існує деякий HTML контент, це тому, що якщо селектор main[id='site-main']
не відповідає, не потрібно перевіряти решту селекторів:
Є рекомендації щодо пом'якшення в https://xsinator.com/paper.pdf, а також у кожному розділі вікі https://xsleaks.dev/. Ознайомтеся з цим для отримання додаткової інформації про те, як захиститися від цих технік.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)