Iframes in XSS, CSP and SOP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ci sono 3 modi per indicare il contenuto di una pagina iframed:
Via src
indicando un URL (l'URL può essere cross origin o same origin)
Via src
indicando il contenuto utilizzando il protocollo data:
Via srcdoc
indicando il contenuto
Accedendo a variabili Parent & Child
Se accedi all'html precedente tramite un server http (come python3 -m http.server
), noterai che tutti gli script verranno eseguiti (poiché non c'è CSP che lo impedisca). il genitore non sarà in grado di accedere alla variabile secret
all'interno di qualsiasi iframe e solo gli iframe if2 e if3 (che sono considerati dello stesso sito) possono accedere al segreto nella finestra originale.
Nota come if4 è considerato avere origine null
.
Si prega di notare come nei seguenti bypass la risposta alla pagina incapsulata non contenga alcun header CSP che impedisca l'esecuzione di JS.
Il valore self
di script-src
non permetterà l'esecuzione del codice JS utilizzando il protocollo data:
o l'attributo srcdoc
.
Tuttavia, anche il valore none
della CSP permetterà l'esecuzione degli iframe che mettono un URL (completo o solo il percorso) nell'attributo src
.
Pertanto, è possibile bypassare la CSP di una pagina con:
Nota come il CSP precedente consente solo l'esecuzione dello script inline.
Tuttavia, solo gli script if1
e if2
verranno eseguiti, ma solo if1
sarà in grado di accedere al segreto del genitore.
Pertanto, è possibile bypassare un CSP se puoi caricare un file JS sul server e caricarlo tramite iframe anche con script-src 'none'
. Questo può potenzialmente essere fatto anche abusando di un endpoint JSONP same-site.
Puoi testare questo con il seguente scenario in cui un cookie viene rubato anche con script-src 'none'
. Basta eseguire l'applicazione e accedervi con il tuo browser:
Il contenuto all'interno di un iframe può essere soggetto a restrizioni aggiuntive attraverso l'uso dell'attributo sandbox
. Per impostazione predefinita, questo attributo non è applicato, il che significa che non ci sono restrizioni in atto.
Quando utilizzato, l'attributo sandbox
impone diverse limitazioni:
Il contenuto è trattato come se provenisse da una fonte unica.
Qualsiasi tentativo di inviare moduli è bloccato.
L'esecuzione di script è vietata.
L'accesso a determinate API è disabilitato.
Impedisce ai link di interagire con altri contesti di navigazione.
L'uso di plugin tramite <embed>
, <object>
, <applet>
, o tag simili è vietato.
La navigazione del contesto di navigazione di livello superiore del contenuto da parte del contenuto stesso è impedita.
Le funzionalità che vengono attivate automaticamente, come la riproduzione video o il focus automatico dei controlli del modulo, sono bloccate.
Il valore dell'attributo può essere lasciato vuoto (sandbox=""
) per applicare tutte le restrizioni sopra menzionate. In alternativa, può essere impostato su un elenco di valori specifici separati da spazi che esentano l'iframe da determinate restrizioni.
Controlla le seguenti pagine:
Bypassing SOP with Iframes - 1Bypassing SOP with Iframes - 2Blocking main page to steal postmessageSteal postmessage modifying iframe locationImpara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)