Iframes in XSS, CSP and SOP
Iframeovi u XSS
Postoje 3 načina za označavanje sadržaja u iframe-ovanoj stranici:
Putem
src
označavajući URL (URL može biti preko granice ili istog porekla)Putem
src
označavajući sadržaj koristećidata:
protokolPutem
srcdoc
označavajući sadržaj
Pristupanje roditeljskim i dečijim varijablama
Ako pristupite prethodnom html-u putem http servera (kao što je python3 -m http.server
), primetićete da će svi skriptovi biti izvršeni (jer nema CSP koji to sprečava). Roditelj neće moći da pristupi tajnom
varijabli unutar bilo kog iframe-a i samo iframe-ovi if2 & if3 (koji se smatraju istosajtnim) mogu pristupiti tajni u originalnom prozoru.
Primetite kako se if4 smatra da ima null
poreklo.
Iframe-ovi sa CSP
Molimo, primetite kako u sledećim zaobilaskama odgovor na iframed stranicu ne sadrži bilo koji CSP zaglavlje koje sprečava izvršavanje JS koda.
Vrednost self
za script-src
neće dozvoliti izvršavanje JS koda korišćenjem data:
protokola ili atributa srcdoc
.
Međutim, čak i vrednost none
CSP-a će dozvoliti izvršavanje iframe-ova koji postavljaju URL (potpuni ili samo putanju) u atribut src
.
Stoga je moguće zaobići CSP stranice sa:
Primetite kako prethodni CSP dozvoljava samo izvršavanje inline skripte.
Međutim, samo će se if1
i if2
skripte izvršiti, ali samo if1
će moći da pristupi roditeljskoj tajni.
Stoga je moguće zaobići CSP ako možete da otpremite JS datoteku na server i učitate je putem iframe-a čak i sa script-src 'none'
. Ovo se potencijalno može postići i zloupotrebom JSONP endpointa na istom sajtu.
Možete testirati ovo sa sledećim scenarijem gde se kolačić ukrade čak i sa script-src 'none'
. Samo pokrenite aplikaciju i pristupite joj preko svog pregledača:
Ostali Payload-ovi pronađeni u divljini
Iframe sandbox
Sadržaj unutar iframe-a može biti podvrgnut dodatnim ograničenjima korišćenjem atributa sandbox
. Podrazumevano, ovaj atribut nije primenjen, što znači da nema ograničenja.
Kada se koristi, atribut sandbox
nameće nekoliko ograničenja:
Sadržaj se tretira kao da potiče sa jedinstvenog izvora.
Svaki pokušaj slanja formi je blokiran.
Izvršavanje skriptova je zabranjeno.
Pristup određenim API-ima je onemogućen.
Onemogućava linkovima da interaguju sa drugim kontekstima pregledanja.
Korišćenje dodataka putem
<embed>
,<object>
,<applet>
, ili sličnih tagova je zabranjeno.Navigacija vršena od strane samog sadržaja u okviru glavnog konteksta pregledanja je sprečena.
Funkcionalnosti koje se automatski pokreću, poput reprodukcije videa ili automatskog fokusiranja kontrola forme, su blokirane.
Vrednost atributa može biti ostavljena prazna (sandbox=""
) kako bi se primenila sva navedena ograničenja. Alternativno, može biti postavljena na razmakom odvojenu listu specifičnih vrednosti koje izuzimaju iframe od određenih ograničenja.
Iframeovi u SOP-u
Proverite sledeće stranice:
pageBypassing SOP with Iframes - 1pageBypassing SOP with Iframes - 2pageBlocking main page to steal postmessagepageSteal postmessage modifying iframe locationLast updated