Bypassing SOP with Iframes - 1
Iframeovi u SOP-1
U ovom izazovu kreiranom od strane NDevTK i Terjanq trebate iskoristiti XSS u kodiranom
Glavni problem je što glavna stranica koristi DomPurify za slanje data.body
, pa da biste poslali svoje HTML podatke tom kodu, morate zaobići e.origin !== window.origin
.
Pogledajmo rešenje koje predlažu.
Zaobilaženje SOP-a 1 (e.origin === null)
Kada je //example.org
ugrađen u sandbox iframe, tada će poreklo stranice biti null
, tj. window.origin === null
. Dakle, samo ugrađivanjem iframe-a putem <iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">
možemo nametnuti null
poreklo.
Ako je stranica ugrađiva, mogli biste zaobići tu zaštitu na taj način (kolačići takođe mogu zahtevati postavljanje na SameSite=None
).
Zaobilaženje SOP-a 2 (window.origin === null)
Manje poznata činjenica je da kada je postavljena vrednost sandbox atributa allow-popups
, tada će otvoreni popup naslediti sve sandbox atribute osim ako nije postavljeno allow-popups-to-escape-sandbox
.
Dakle, otvaranje popupa iz nultog porekla će učiniti da je window.origin
unutar popupa takođe null
.
Rešenje izazova
Stoga, za ovaj izazov, mogli biste kreirati iframe, otvoriti popup na stranici sa ranjivim XSS kodom (/iframe.php
), jer je window.origin === e.origin
jer su oba null
, moguće je poslati payload koji će iskoristiti XSS.
Taj payload će dobiti identifikator i poslati XSS natrag na vrh stranice (stranica koja otvara popup), koja će promeniti lokaciju na ranjivu /iframe.php
. Zato što je identifikator poznat, nije važno da uslov window.origin === e.origin
nije ispunjen (zapamtite, poreklo je popup iz iframe-a koji ima poreklo null
) jer je data.identifier === identifier
. Zatim će se XSS ponovo pokrenuti, ovaj put na pravom poreklu.
Last updated