Bypassing SOP with Iframes - 1
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
In questa sfida creata da NDevTK e Terjanq devi sfruttare un XSS nel codice
Il problema principale è che la pagina principale utilizza DomPurify per inviare il data.body
, quindi per inviare i propri dati html a quel codice è necessario bypassare e.origin !== window.origin
.
Vediamo la soluzione che propongono.
Quando //example.org
è incorporato in un iframe sandboxed, allora l'origine della pagina sarà null
, cioè window.origin === null
. Quindi, semplicemente incorporando l'iframe tramite <iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">
potremmo forzare l'origine null
.
Se la pagina fosse incorporabile, potresti bypassare quella protezione in quel modo (i cookie potrebbero anche dover essere impostati su SameSite=None
).
Il fatto meno conosciuto è che quando il valore sandbox allow-popups
è impostato, allora il popup aperto erediterà tutti gli attributi sandboxed a meno che non sia impostato allow-popups-to-escape-sandbox
.
Quindi, aprire un popup da un origine null farà sì che window.origin
all'interno del popup sia anch'esso null
.
Pertanto, per questa sfida, si potrebbe creare un iframe, aprire un popup sulla pagina con il gestore di codice XSS vulnerabile (/iframe.php
), poiché window.origin === e.origin
perché entrambi sono null
, è possibile inviare un payload che sfrutterà l'XSS.
Quel payload otterrà l'identificatore e invierà un XSS indietro alla pagina principale (la pagina che ha aperto il popup), che cambierà posizione verso il vulnerabile /iframe.php
. Poiché l'identificatore è noto, non importa che la condizione window.origin === e.origin
non sia soddisfatta (ricorda, l'origine è il popup dall'iframe che ha origine null
) perché data.identifier === identifier
. Poi, l'XSS si attiverà di nuovo, questa volta nell'origine corretta.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)