Iframes in XSS, CSP and SOP
Iframes in XSS
Ci sono 3 modi per indicare il contenuto di una pagina iframed:
Via
src
indicando un URL (l'URL può essere cross origin o same origin)Via
src
indicando il contenuto utilizzando il protocollodata:
Via
srcdoc
indicando il contenuto
Accedendo a variabili Parent & Child
Se accedi all'html precedente tramite un server http (come python3 -m http.server
), noterai che tutti gli script verranno eseguiti (poiché non c'è CSP che lo impedisca). il genitore non sarà in grado di accedere alla variabile secret
all'interno di qualsiasi iframe e solo gli iframe if2 e if3 (che sono considerati dello stesso sito) possono accedere al segreto nella finestra originale.
Nota come if4 è considerato avere origine null
.
Iframes con CSP
Si prega di notare come nei seguenti bypass la risposta alla pagina incapsulata non contenga alcun header CSP che impedisca l'esecuzione di JS.
Il valore self
di script-src
non permetterà l'esecuzione del codice JS utilizzando il protocollo data:
o l'attributo srcdoc
.
Tuttavia, anche il valore none
della CSP permetterà l'esecuzione degli iframe che mettono un URL (completo o solo il percorso) nell'attributo src
.
Pertanto, è possibile bypassare la CSP di una pagina con:
Nota come il CSP precedente consente solo l'esecuzione dello script inline.
Tuttavia, solo gli script if1
e if2
verranno eseguiti, ma solo if1
sarà in grado di accedere al segreto del genitore.
Pertanto, è possibile bypassare un CSP se puoi caricare un file JS sul server e caricarlo tramite iframe anche con script-src 'none'
. Questo può potenzialmente essere fatto anche abusando di un endpoint JSONP same-site.
Puoi testare questo con il seguente scenario in cui un cookie viene rubato anche con script-src 'none'
. Basta eseguire l'applicazione e accedervi con il tuo browser:
Altri Payload trovati in natura
Iframe sandbox
Il contenuto all'interno di un iframe può essere soggetto a restrizioni aggiuntive attraverso l'uso dell'attributo sandbox
. Per impostazione predefinita, questo attributo non è applicato, il che significa che non ci sono restrizioni in atto.
Quando utilizzato, l'attributo sandbox
impone diverse limitazioni:
Il contenuto è trattato come se provenisse da una fonte unica.
Qualsiasi tentativo di inviare moduli è bloccato.
L'esecuzione di script è vietata.
L'accesso a determinate API è disabilitato.
Impedisce ai link di interagire con altri contesti di navigazione.
L'uso di plugin tramite
<embed>
,<object>
,<applet>
o tag simili è vietato.La navigazione del contesto di navigazione di livello superiore del contenuto da parte del contenuto stesso è impedita.
Le funzionalità che vengono attivate automaticamente, come la riproduzione video o il focus automatico dei controlli del modulo, sono bloccate.
Il valore dell'attributo può essere lasciato vuoto (sandbox=""
) per applicare tutte le restrizioni sopra menzionate. In alternativa, può essere impostato su un elenco di valori specifici separati da spazi che esentano l'iframe da determinate restrizioni.
Iframes in SOP
Controlla le seguenti pagine:
Bypassing SOP with Iframes - 1Bypassing SOP with Iframes - 2Blocking main page to steal postmessageSteal postmessage modifying iframe locationLast updated