Bypassing SOP with Iframes - 1
Iframes στο SOP-1
Σε αυτήν την πρόκληση που δημιουργήθηκε από τους NDevTK και Terjanq, χρειάζεστε να εκμεταλλευτείτε ένα XSS στον κώδικα.
Το κύριο πρόβλημα είναι ότι η κύρια σελίδα χρησιμοποιεί το DomPurify για να στείλει τα δεδομένα data.body
, οπότε για να στείλετε τα δικά σας δεδομένα html σε αυτόν τον κώδικα πρέπει να παρακάμψετε το e.origin !== window.origin
.
Ας δούμε τη λύση που προτείνουν.
Παράκαμψη SOP 1 (e.origin === null)
Όταν το //example.org
ενσωματώνεται σε ένα sandboxed iframe, τότε η προέλευση της σελίδας θα είναι null
, δηλαδή window.origin === null
. Έτσι, απλά ενσωματώνοντας το iframe μέσω <iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">
μπορούμε να επιβάλουμε την προέλευση null
.
Αν η σελίδα ήταν ενσωματώσιμη, θα μπορούσατε να παρακάμψετε αυτήν την προστασία με αυτόν τον τρόπο (ενδέχεται να χρειαστεί επίσης να οριστούν τα cookies σε SameSite=None
).
Παράκαμψη SOP 2 (window.origin === null)
Το λιγότερο γνωστό γεγονός είναι ότι όταν ο τιμή sandbox allow-popups
ορίζεται, τότε το ανοιχτό popup θα κληρονομήσει όλα τα sandboxed attributes εκτός αν οριστεί το allow-popups-to-escape-sandbox
.
Έτσι, ανοίγοντας ένα popup από μια προέλευση null θα κάνει το window.origin
μέσα στο popup επίσης null
.
Λύση πρόκλησης
Επομένως, για αυτήν την πρόκληση, θα μπορούσατε να δημιουργήσετε ένα iframe, να ανοίξετε ένα popup στη σελίδα με το ευάλωτο χειριστή XSS (/iframe.php
), καθώς window.origin === e.origin
επειδή και τα δύο είναι null
είναι δυνατόν να στείλετε ένα payload που θα εκμεταλλευτεί το XSS.
Αυτό το payload θα λάβει το αναγνωριστικό και θα στείλει ένα XSS πίσω στην κορυφαία σελίδα (η σελίδα που ανοίγει το popup), η οποία θα αλλάξει την τοποθεσία στο ευάλωτο /iframe.php
. Επειδή το αναγνωριστικό είναι γνωστό, δεν έχει σημασία ότι η συνθήκη window.origin === e.origin
δεν ικανοποιείται (θυμηθείτε, η προέλευση είναι το popup από το iframe που έχει προέλευση null
) επειδή data.identifier === identifier
. Στη συνέχεια, το XSS θα ενεργοποιηθεί ξανά, αυτή τη φορά στη σωστή προέλευση.
Last updated