# タイミング攻撃

{{#include ../banners/hacktricks-training.md}}

> [!WARNING]
> この技術を深く理解するためには、[https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work](https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work)からのオリジナルレポートを確認してください。

## 基本情報

タイミング攻撃の基本的な目標は、**類似のリクエストからの応答の時間差を確認することによって、複雑な質問に答えたり、隠れた機能を検出したりすること**です。

従来、これはネットワークとサーバーによって導入される遅延とジッターのために非常に複雑でした。しかし、[**レースコンディションシングルパケット攻撃**](race-condition.md#http-2-single-packet-attack-vs.-http-1.1-last-byte-synchronization)の発見と改善以来、この技術を使用してすべてのネットワーク遅延を方程式から除去することが可能になりました。\
サーバーの遅延だけを残すことで、タイミング攻撃の発見と悪用が容易になります。

## 発見

### 隠れた攻撃面

ブログ記事では、この技術を使用して隠れたパラメータやヘッダーを見つけることができた方法がコメントされています。リクエストにパラメータやヘッダーが存在する場合、**約5msの時間差があった**ことを確認するだけです。実際、この発見技術はBurp Suiteの**Param Miner**に追加されました。

これらの時間差は、**DNSリクエスト**が実行されたため、無効な入力によって**ログが書き込まれた**ため、またはリクエストにパラメータが存在する場合に**チェックが実行された**ために発生する可能性があります。

この種の攻撃を実行する際に覚えておくべきことは、隠れた性質のために、時間差の実際の原因が何であるかを知らない可能性があるということです。

### リバースプロキシの誤設定

同じ研究では、タイミング技術が「スコープ付きSSRF」（許可されたIP/ドメインにのみアクセスできるSSRF）を発見するのに優れていることが共有されました。**許可されたドメインが設定されている場合と、許可されていないドメインが設定されている場合の時間差を確認する**ことで、応答が同じであってもオープンプロキシを発見するのに役立ちます。

スコープ付きオープンプロキシが発見されると、ターゲットの既知のサブドメインを解析することで有効なターゲットを見つけることができ、これにより以下が可能になります：

- **ファイアウォールをバイパス**し、**オープンプロキシ**を介して制限されたサブドメインにアクセスする
- さらに、**オープンプロキシ**を悪用することで、**内部でのみアクセス可能な新しいサブドメインを発見する**ことも可能です。
- **フロントエンドのなりすまし攻撃**：フロントエンドサーバーは通常、`X-Forwarded-For`や`X-Real-IP`のようなバックエンド用のヘッダーを追加します。これらのヘッダーを受け取るオープンプロキシは、要求されたエンドポイントにそれらを追加するため、攻撃者はホワイトリストに登録された値を追加することで、さらに多くの内部ドメインにアクセスできる可能性があります。

## 参考文献

- [https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work](https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work)

{{#include ../banners/hacktricks-training.md}}