Bypassing SOP with Iframes - 2
Iframes en SOP-2
En la solución para este desafío, @Strellic_ propone un método similar al de la sección anterior. Veámoslo.
En este desafío, el atacante necesita burlar esto:
Si lo hace, puede enviar un postmessage con contenido HTML que se va a escribir en la página con innerHTML
sin saneamiento (XSS).
La forma de evadir la primera verificación es haciendo que window.calc.contentWindow
sea undefined
y e.source
sea null
:
window.calc.contentWindow
es en realidaddocument.getElementById("calc")
. Puedes sobrescribirdocument.getElementById
con<img name=getElementById />
(nota que la API de Sanitizer -aquí- no está configurada para proteger contra ataques de sobrescritura de DOM en su estado predeterminado).Por lo tanto, puedes sobrescribir
document.getElementById("calc")
con<img name=getElementById /><div id=calc></div>
. Entonces,window.calc
seráundefined
.Ahora, necesitamos que
e.source
seaundefined
onull
(porque se usa==
en lugar de===
,null == undefined
esTrue
). Conseguir esto es "fácil". Si creas un iframe y envías un postMessage desde él e inmediatamente lo eliminas,e.origin
seránull
. Revisa el siguiente código:
Para evitar la segunda verificación sobre el token es enviando token
con el valor null
y haciendo que el valor de window.token
sea undefined
:
Enviar
token
en el postMessage con el valornull
es trivial.window.token
al llamar a la funcióngetCookie
que utilizadocument.cookie
. Tenga en cuenta que cualquier acceso adocument.cookie
en páginas de origennull
desencadena un error. Esto hará quewindow.token
tenga el valorundefined
.
La solución final por @terjanq es la siguiente:
Última actualización