Timing Attacks

Reading time: 4 minutes

Basic Information

时序攻击的基本目标是通过检查相似请求的响应时间差异来回答复杂问题或检测隐藏功能。

传统上，这一直非常复杂，因为网络和服务器引入的延迟和抖动。然而，自从发现和改进了Race Condition Single Packet attack后，可以使用此技术将所有网络延迟噪声从方程中去除。
只留下服务器延迟使得时序攻击更容易被发现和利用。

Discoveries

Hidden Attack Surface

在博客文章中提到，使用此技术可以找到隐藏参数甚至头部，只需检查每当参数或头部出现在请求中时，时间差约为5毫秒。实际上，这种发现技术已被添加到Burp Suite的Param Miner中。

这些时间差可能是因为DNS请求被执行，某些日志被写入因为无效输入，或者因为在请求中存在参数时执行了一些检查。

在执行这种攻击时需要记住的一点是，由于表面的隐藏性质，您可能不知道时间差的实际原因。

Reverse Proxy Misconfigurations

在同一研究中，分享了时序技术非常适合发现“范围内的SSRF”（只能访问允许的IP/域的SSRF）。只需检查设置允许域时的时间差与设置不允许域时的时间差，有助于发现开放代理，即使响应相同。

一旦发现范围内的开放代理，就可以通过解析目标的已知子域找到有效目标，这使得：

• 绕过防火墙，通过开放代理访问受限子域，而不是通过互联网
• 此外，利用开放代理，还可以发现仅在内部可访问的新子域。
• 前端冒充攻击：前端服务器通常会为后端添加头部，如X-Forwarded-For或X-Real-IP。接收这些头部的开放代理将其添加到请求的端点，因此，攻击者可以通过添加这些头部与白名单值来访问更多内部域。

References

• https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work