DOM Zafiyetleri

DOM zafiyetleri, saldırgan tarafından kontrol edilen kaynaklardan (location.search, document.referrer veya document.cookie gibi) gelen verilerin güvensiz bir şekilde sızıntılara aktarıldığı durumlarda ortaya çıkar. Sızıntılar, zararlı içeriği yürütebilen veya oluşturabilen işlevler veya nesnelerdir (örneğin, eval(), document.body.innerHTML).

• Kaynaklar, saldırganlar tarafından manipüle edilebilen URL'ler, çerezler ve web mesajları gibi girişlerdir.

• Sızıntılar, zararlı verilerin kötü etkilere (örneğin, komut dosyası yürütme) yol açabileceği potansiyel olarak tehlikeli uç noktalardır.

Risk, verinin doğru doğrulama veya temizleme olmadan bir kaynaktan bir sızıntıya aktarılması durumunda ortaya çıkar ve XSS gibi saldırılara olanak tanır.

Yaygın kaynaklar:

document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB (mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database

Ortak Sızıntılar:

innerHTML sızıntısı, modern tarayıcılarda script öğelerini kabul etmez ve svg onload etkinlikleri gerçekleştirmez. Bu, img veya iframe gibi alternatif öğeler kullanmanız gerektiği anlamına gelir.

Bu tür bir XSS muhtemelen bulması en zor olanıdır, çünkü JS koduna bakmanız, kontrol ettiğiniz bir değeri kullanan herhangi bir nesneye bakmanız ve bu durumda keyfi JS kodunu yürütmek için herhangi bir yolun olup olmadığını görmek için gereklidir.

Bunları bulmak için araçlar

• https://github.com/mozilla/eslint-plugin-no-unsanitized

Örnekler

Açık Yönlendirme

Kaynak: https://portswigger.net/web-security/dom-based/open-redirection

DOM'daki açık yönlendirme zafiyetleri, bir saldırganın kontrol edebileceği verileri bir başka etki alanına yönlendirebilen bir sızıntıya sahip bir betik veri yazdığında oluşur.

Yönlendirmenin gerçekleştiği URL'nin başlangıcını kontrol ediyorsanız, javascript:alert(1) gibi keyfi kodu yürütmek mümkündür.

Sızıntılar:

location
location.host
location.hostname
location.href
location.pathname
location.search
location.protocol
location.assign()
location.replace()
open()
domElem.srcdoc
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.ajax()
$.ajax()

Çerez manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/cookie-manipulation

DOM tabanlı çerez manipülasyonu zafiyetleri, bir betik tarafından kontrol edilebilen verilerin bir çerezin değerine dahil edildiği durumlarda ortaya çıkar. Bu zafiyet, çerezin site içinde kullanılması durumunda web sayfasının beklenmedik davranışlara yol açabilir. Ayrıca, çerez kullanıcı oturumlarını takip etmek için kullanılıyorsa, oturum sabitleme saldırısı gerçekleştirmek için sömürülebilir. Bu zafiyetle ilişkili temel hedef şunlardır:

Hedefler:

document.cookie

JavaScript Enjeksiyonu

Kaynak: https://portswigger.net/web-security/dom-based/javascript-injection

DOM tabanlı JavaScript enjeksiyonu açıkları, bir saldırgan tarafından kontrol edilebilen verilerin JavaScript kodu olarak çalıştırıldığı durumlarda oluşur.

Sızıntılar:

eval()
Function() constructor
setTimeout()
setInterval()
setImmediate()
execCommand()
execScript()
msSetImmediate()
range.createContextualFragment()
crypto.generateCRMFRequest()

Document-domain manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/document-domain-manipulation

Document-domain manipülasyonu açıkları, bir saldırganın kontrol edebileceği verileri kullanarak bir betik tarafından document.domain özelliğinin ayarlandığı durumlarda ortaya çıkar.

document.domain özelliği, tarayıcılar tarafından aynı köken politikasının uygulanmasında önemli bir rol oynar. Farklı kökenlere ait iki sayfa, document.domain değerlerini aynı değere ayarladıklarında kısıtlamalar olmaksızın etkileşimde bulunabilirler. Tarayıcılar, document.domain'e atanan değerlere belirli sınırlamalar getirirken, tamamen ilgisiz değerlerin gerçek sayfa kökenine atanmasını engeller. Genellikle, tarayıcılar alt veya üst etki alanlarının kullanılmasına izin verir.

Sızıntılar:

document.domain

WebSocket-URL zehirlenmesi

Kaynak: https://portswigger.net/web-security/dom-based/websocket-url-poisoning

WebSocket-URL zehirlenmesi, bir betik tarafından bir WebSocket bağlantısı için kontrol edilebilir verilerin hedef URL olarak kullanılması durumunda meydana gelir.

Sızıntılar:

WebSocket yapıcısı, WebSocket-URL zehirlenmesi açıklarına yol açabilir.

Bağlantı manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/link-manipulation

DOM tabanlı bağlantı manipülasyonu açıkları, bir betiğin mevcut sayfa içindeki bir gezinme hedefine saldırgan tarafından kontrol edilebilir verileri yazması durumunda ortaya çıkar, örneğin tıklanabilir bir bağlantı veya bir formun gönderim URL'si.

Sızıntılar:

someDOMElement.href
someDOMElement.src
someDOMElement.action

Ajax isteği manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation

Ajax isteği manipülasyonu açıkları, bir betik tarafından kullanılan bir XmlHttpRequest nesnesi kullanılarak gönderilen bir Ajax isteğine saldırgan tarafından kontrol edilebilen verilerin yazılması durumunda ortaya çıkar.

Sızıntılar:

XMLHttpRequest.setRequestHeader()
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.globalEval()
$.globalEval()

Yerel dosya yolu manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/local-file-path-manipulation

Yerel dosya yolu manipülasyonu açıklıkları, bir betik saldırgan tarafından kontrol edilebilir verileri filename parametresi olarak bir dosya işleme API'sine ilettiğinde ortaya çıkar. Bu açıklık, bir saldırganın, başka bir kullanıcı tarafından ziyaret edilirse, kullanıcının tarayıcısının keyfi bir yerel dosya açmasına veya yazmasına yol açabilecek bir URL oluşturmasını sağlar.

Sızıntılar:

FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
FileReader.readAsDataURL()
FileReader.readAsText()
FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()

İstemci Tarafı SQL enjeksiyonu

Kaynak: https://portswigger.net/web-security/dom-based/client-side-sql-injection

İstemci tarafı SQL enjeksiyonu açıkları, bir betik tarafından saldırgan tarafından kontrol edilebilen verilerin güvensiz bir şekilde bir istemci tarafı SQL sorgusuna dahil edilmesi durumunda ortaya çıkar.

Sızıntılar:

executeSql()

HTML5-depolama manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/html5-storage-manipulation

HTML5-depolama manipülasyonu açıkları, bir betik saldırgan tarafından kontrol edilebilen verileri web tarayıcısının HTML5 depolama alanına (localStorage veya sessionStorage) kaydettiğinde ortaya çıkar. Bu eylem başlangıçta bir güvenlik açığı olmasa da, uygulama daha sonra kaydedilen verileri okuyup güvensiz bir şekilde işlerse sorunlu hale gelir. Bu, saldırganın depolama mekanizmasını kullanarak diğer DOM tabanlı saldırıları, örneğin cross-site scripting ve JavaScript enjeksiyonu gibi saldırıları gerçekleştirmesine olanak tanıyabilir.

Sızıntılar:

sessionStorage.setItem()
localStorage.setItem()

XPath enjeksiyonu

Kaynak: https://portswigger.net/web-security/dom-based/client-side-xpath-injection

DOM tabanlı XPath enjeksiyonu açıkları, bir betik tarafından saldırgan tarafından kontrol edilebilen verilerin bir XPath sorgusuna dahil edilmesi durumunda ortaya çıkar.

Sızıntılar:

document.evaluate()
someDOMElement.evaluate()

İstemci tarafı JSON enjeksiyonu

Kaynak: https://portswigger.net/web-security/dom-based/client-side-json-injection

DOM tabanlı JSON enjeksiyonu açıkları, bir betik tarafından saldırgan tarafından kontrol edilebilen verilerin, bir JSON veri yapısı olarak ayrıştırılan ve ardından uygulama tarafından işlenen bir dizeye dahil edilmesi durumunda ortaya çıkar.

Sızıntılar:

JSON.parse()
jQuery.parseJSON()
$.parseJSON()

Web mesajı manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/web-message-manipulation

Web mesajı açıklıkları, bir betik tarafından kontrol edilebilen verilerin tarayıcı içindeki başka bir belgeye web mesajı olarak gönderildiğinde ortaya çıkar. Savunmasız Web mesajı manipülasyonunun bir örneği, PortSwigger'ın Web Güvenlik Akademisi adresinde bulunabilir.

Alıcılar:

Web mesajlarını göndermek için postMessage() yöntemi, gelen verileri güvenli olmayan bir şekilde işleyen olay dinleyicisi varsa açıklıklara yol açabilir.

DOM veri manipülasyonu

Kaynak: https://portswigger.net/web-security/dom-based/dom-data-manipulation

DOM veri manipülasyonu açıklıkları, bir betiğin, görünür kullanıcı arayüzünde veya istemci tarafı mantığında kullanılan DOM içindeki bir alana saldırgan tarafından kontrol edilebilen verileri yazması durumunda ortaya çıkar. Bu açıklık, bir saldırganın, başka bir kullanıcı tarafından ziyaret edilirse, istemci tarafı kullanıcı arayüzünün görünümünü veya davranışını değiştirebileceği bir URL oluşturmak için kullanılabilir.

Alıcılar:

scriptElement.src
scriptElement.text
scriptElement.textContent
scriptElement.innerText
someDOMElement.setAttribute()
someDOMElement.search
someDOMElement.text
someDOMElement.textContent
someDOMElement.innerText
someDOMElement.outerText
someDOMElement.value
someDOMElement.name
someDOMElement.target
someDOMElement.method
someDOMElement.type
someDOMElement.backgroundImage
someDOMElement.cssText
someDOMElement.codebase
document.title
document.implementation.createHTMLDocument()
history.pushState()
history.replaceState()

Hizmet Reddi

Kaynak: https://portswigger.net/web-security/dom-based/denial-of-service

DOM tabanlı hizmet reddi açıkları, bir betiğin saldırgan tarafından kontrol edilebilen verileri güvensiz bir şekilde sorunlu bir platform API'sine ilettiğinde meydana gelir. Bu, kullanıcının bilgisayarının aşırı miktarda CPU veya disk alanı tüketmesine neden olabilen API'leri içerir. Bu tür açıkların önemli yan etkileri olabilir, örneğin tarayıcı, localStorage'da veri depolama girişimlerini reddederek veya meşgul betikleri sonlandırarak web sitesinin işlevselliğini kısıtlayabilir.

Sızıntılar:

requestFileSystem()
RegExp()

Dom Clobbering