CSP bypass: self + 'unsafe-inline' with Iframes
Una configuración como:
Prohíbe el uso de cualquier función que ejecute código transmitido como una cadena. Por ejemplo: eval, setTimeout, setInterval
serán bloqueados debido a la configuración unsafe-eval
Cualquier contenido de fuentes externas también está bloqueado, incluyendo imágenes, CSS, WebSockets y, especialmente, JS
A través de Texto e Imágenes
Se observa que los navegadores modernos convierten imágenes y textos en HTML para mejorar su visualización (por ejemplo, configurando fondos, centrando, etc.). En consecuencia, si un archivo de imagen o texto, como favicon.ico
o robots.txt
, se abre a través de un iframe
, se renderiza como HTML. Notablemente, estas páginas a menudo carecen de encabezados CSP y pueden no incluir X-Frame-Options, lo que permite la ejecución de JavaScript arbitrario desde ellas:
A través de Errores
De manera similar, las respuestas de error, como archivos de texto o imágenes, generalmente vienen sin encabezados CSP y pueden omitir X-Frame-Options. Se pueden inducir errores para que se carguen dentro de un iframe, lo que permite las siguientes acciones:
Después de activar cualquiera de los escenarios mencionados, la ejecución de JavaScript dentro del iframe se puede lograr de la siguiente manera:
Referencias
Last updated