Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks.

Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie.

Nie wydaje się to zatem niczym spektakularnym.

Nie ma wybuchów i wykonywania zdalnego kodu na serwerze.

Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności.

Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia.

Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany.

W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty.

Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie.

Możliwe jest także poznanie hasła użytkownika.

Każde pytanie można bowiem zamienić na serię pytań tak/nie.

Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9.

A może jest to litera Z?

Materiał w formie tekstowej: https://security.szurek.pl/xsleaks-cross-site-leaks.html

0:18 Cross Site Leaks

0:47 Odpowiedź na pytanie tak/nie

1:57 Same origin policy

3:03 Żądania POST do strony

3:35 Zewnętrzne API

4:20 Nagłówek CORS

4:53 Czas trwania żądań

6:08 Tag iframe

7:53 XSS Auditor

10:02 Wykrywanie pobierania plików

10:38 onerror

11:15 Deanonimizacja użytkowników

Więcej informacji: https://github.com/xsleaks/xsleaks/

Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1

Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

#pentest #xsleaks #programowanie