Iframes in XSS, CSP and SOP
Iframes en XSS
Hay 3 formas de indicar el contenido de una página en un iframe:
A través de
src
indicando una URL (la URL puede ser de origen cruzado o del mismo origen)A través de
src
indicando el contenido usando el protocolodata:
A través de
srcdoc
indicando el contenido
Accediendo a variables del padre e hijo
Si accedes al html anterior a través de un servidor http (como python3 -m http.server
) notarás que todos los scripts se ejecutarán (ya que no hay CSP que lo prevenga). El padre no podrá acceder a la variable secret
dentro de ningún iframe y solo los iframes if2 e if3 (que se consideran del mismo sitio) pueden acceder al secreto en la ventana original.
Observa cómo se considera que if4 tiene un origen null
.
Iframes con CSP
Por favor, observa cómo en los siguientes bypasses la respuesta a la página con iframe no contiene ninguna cabecera CSP que prevenga la ejecución de JS.
El valor self
de script-src
no permitirá la ejecución del código JS utilizando el protocolo data:
o el atributo srcdoc
.
Sin embargo, incluso el valor none
del CSP permitirá la ejecución de los iframes que colocan una URL (completa o solo la ruta) en el atributo src
.
Por lo tanto, es posible evadir el CSP de una página con:
Observa cómo la CSP anterior solo permite la ejecución del script en línea.
Sin embargo, solo los scripts if1
e if2
se ejecutarán pero solo if1
podrá acceder al secreto principal.
Por lo tanto, es posible burlar una CSP si puedes cargar un archivo JS en el servidor y cargarlo a través de un iframe incluso con script-src 'none'
. Esto también potencialmente se puede hacer abusando de un punto final JSONP del mismo sitio.
Puedes probar esto con el siguiente escenario donde se roba una cookie incluso con script-src 'none'
. Simplemente ejecuta la aplicación y accede a ella con tu navegador:
Otros payloads encontrados en la naturaleza
Iframe sandbox
El contenido dentro de un iframe puede estar sujeto a restricciones adicionales mediante el uso del atributo sandbox
. Por defecto, este atributo no se aplica, lo que significa que no hay restricciones en su lugar.
Cuando se utiliza, el atributo sandbox
impone varias limitaciones:
El contenido se trata como si proviniera de una fuente única.
Se bloquea cualquier intento de enviar formularios.
Se prohíbe la ejecución de scripts.
Se deshabilita el acceso a ciertas APIs.
Evita que los enlaces interactúen con otros contextos de navegación.
No se permite el uso de complementos a través de
<embed>
,<object>
,<applet>
, u etiquetas similares.Se evita la navegación del contexto de navegación de nivel superior del contenido por el propio contenido.
Se bloquean las funciones que se activan automáticamente, como la reproducción de video o el enfoque automático de controles de formulario.
El valor del atributo puede dejarse vacío (sandbox=""
) para aplicar todas las restricciones mencionadas anteriormente. Alternativamente, se puede establecer en una lista de valores específicos separados por espacios que eximen al iframe de ciertas restricciones.
Iframes en SOP
Verifica las siguientes páginas:
Última actualización