CSP bypass: self + 'unsafe-inline' with Iframes
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Una configurazione come:
Proibisce l'uso di qualsiasi funzione che esegue codice trasmesso come stringa. Ad esempio: eval, setTimeout, setInterval
saranno tutti bloccati a causa dell'impostazione unsafe-eval
Qualsiasi contenuto proveniente da fonti esterne è anche bloccato, comprese immagini, CSS, WebSocket e, soprattutto, JS
Si osserva che i browser moderni convertono immagini e testi in HTML per migliorare la loro visualizzazione (ad es., impostazione degli sfondi, centratura, ecc.). Di conseguenza, se un file immagine o di testo, come favicon.ico
o robots.txt
, viene aperto tramite un iframe
, viene reso come HTML. È importante notare che queste pagine spesso mancano di intestazioni CSP e potrebbero non includere X-Frame-Options, consentendo l'esecuzione di JavaScript arbitrario da esse:
Allo stesso modo, le risposte di errore, come file di testo o immagini, di solito arrivano senza intestazioni CSP e potrebbero omettere X-Frame-Options. Gli errori possono essere indotti a caricarsi all'interno di un iframe, consentendo le seguenti azioni:
Dopo aver attivato uno dei scenari menzionati, l'esecuzione di JavaScript all'interno dell'iframe è realizzabile come segue:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)