Bypassing SOP with Iframes - 1
Iframes en SOP-1
En este desafío creado por NDevTK y Terjanq necesitas explotar un XSS en el código.
El problema principal es que la página principal utiliza DomPurify para enviar el data.body
, por lo que para enviar tus propios datos html a ese código necesitas burlar e.origin !== window.origin
.
Veamos la solución que proponen.
Bypass SOP 1 (e.origin === null)
Cuando //example.org
está incrustado en un iframe con sandbox, entonces el origen de la página será null
, es decir, window.origin === null
. Por lo tanto, simplemente al incrustar el iframe a través de <iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">
podríamos forzar el origen null
.
Si la página fuera incrustable, podrías burlar esa protección de esa manera (es posible que también sea necesario configurar las cookies en SameSite=None
).
Bypass SOP 2 (window.origin === null)
El hecho menos conocido es que cuando se establece el valor de sandbox allow-popups
, entonces la ventana emergente abierta heredará todos los atributos con sandbox a menos que se establezca allow-popups-to-escape-sandbox
.
Por lo tanto, abrir una ventana emergente desde un origen nulo hará que window.origin
dentro de la ventana emergente también sea null
.
Solución del Desafío
Por lo tanto, para este desafío, uno podría crear un iframe, abrir una ventana emergente a la página con el manejador de código XSS vulnerable (/iframe.php
), como window.origin === e.origin
porque ambos son null
, es posible enviar un payload que explotará el XSS.
Ese payload obtendrá el identificador y enviará un XSS de vuelta a la página superior (la página que abrió la ventana emergente), lo cual cambiará la ubicación a la vulnerable /iframe.php
. Debido a que el identificador es conocido, no importa que la condición window.origin === e.origin
no se cumpla (recuerda, el origen es la ventana emergente del iframe que tiene origen null
) porque data.identifier === identifier
. Entonces, el XSS se activará nuevamente, esta vez en el origen correcto.
Última actualización