Blocking main page to steal postmessage
Iframes के साथ RCs जीतना
इस Terjanq writeup के अनुसार, नल उत्पत्तियों से बनाए गए ब्लॉब दुर्भाग्य से सुरक्षा लाभ के लिए अलग होते हैं, जिसका मतलब है कि यदि आप मुख्य पेज को व्यस्त रखते हैं, तो आईफ्रेम पेज को निष्क्रिय किया जाएगा।
मूल रूप से उस चुनौती में एक अलग आईफ्रेम को निष्क्रिय किया जाता है और उसके बाद जब यह लोड होता है, मुख्य पेज एक पोस्ट संदेश भेजेगा जिसमें ध्वज होगा। हालांकि, इस postmessage संचार में XSS के लिए वंशावली है (आईफ्रेम JS कोड को निष्क्रिय कर सकता है)।
इसलिए, हमले करने वाले का लक्ष्य है कि मुख्य आईफ्रेम बनाए, लेकिन पहले ही मुख्य पेज संवेदनशील डेटा (ध्वज) भेजने से पहले उसे व्यस्त रखें और पेलोड आईफ्रेम को भेजें। जब तक मुख्य व्यस्त है, आईफ्रेम पेलोड को निष्क्रिय करेगा जो कुछ JS होगा जो मुख्य postmessage संदेश को सुनेगा और ध्वज लीक करेगा। अंततः, आईफ्रेम ने पेलोड को निष्क्रिय किया है और मुख्य पेज व्यस्त होना बंद कर देता है, इसलिए वह ध्वज भेजता है और पेलोड इसे लीक करता है।
लेकिन कैसे आप मुख्य को व्यस्त बना सकते हैं उसके बाद जब यह आईफ्रेम उत्पन्न करता है और केवल जब यह आईफ्रेम तैयार होने का इंतजार कर रहा है ताकि संवेदनशील डेटा भेज सके? मूल रूप से, आपको एक असिंक क्रिया ढूंढनी होगी जिसे आप मुख्य निष्पादित कर सकते हैं। उदाहरण के लिए, उस चुनौती में मुख्य postmessages को इस तरह सुन रहा था:
इसलिए एक बड़ा पूर्णांक postmessage में भेजना संभव था जो उस तुलना में स्ट्रिंग में परिवर्तित होगा, जिससे कुछ समय लगेगा:
और सटीक होने के लिए और postmessage को भेजने के लिए बस iframe बनाया गया है लेकिन यह पेयरेंट से डेटा प्राप्त करने के लिए तैयार नहीं है, तो आपको setTimeout
के मिलीसेकंड के साथ खेलने की आवश्यकता होगी।
Last updated