CSP bypass: self + 'unsafe-inline' with Iframes
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Aşağıdaki gibi bir yapı:
Herhangi bir kodu bir dize olarak ileten işlevlerin kullanımını yasaklar. Örneğin: eval, setTimeout, setInterval
ayarı unsafe-eval
nedeniyle engellenecektir.
Ayrıca, dış kaynaklardan gelen herhangi bir içerik de engellenir; bu, resimler, CSS, WebSockets ve özellikle JS'yi içerir.
Modern tarayıcıların, görüntüleri ve metinleri HTML'ye dönüştürdüğü gözlemlenmiştir; bu, görüntülerin daha iyi görüntülenmesini sağlamak içindir (örneğin, arka plan ayarları, ortalama vb.). Sonuç olarak, favicon.ico
veya robots.txt
gibi bir resim veya metin dosyası bir iframe
aracılığıyla açıldığında, HTML olarak işlenir. Özellikle, bu sayfaların genellikle CSP başlıkları yoktur ve X-Frame-Options içermeyebilir, bu da onlardan rastgele JavaScript'in çalıştırılmasına olanak tanır:
Benzer şekilde, metin dosyaları veya resimler gibi hata yanıtları genellikle CSP başlıkları olmadan gelir ve X-Frame-Options'u atlayabilir. Hatalar bir iframe içinde yüklenmesi sağlanarak aşağıdaki eylemler gerçekleştirilebilir:
Belirtilen senaryolardan herhangi birini tetikledikten sonra, iframe içindeki JavaScript'in çalıştırılması aşağıdaki gibi mümkündür:
AWS Hacking öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)