Steal postmessage modifying iframe location
Kubadilisha maeneo ya iframes ya watoto
Kulingana na makala hii, ikiwa unaweza kuweka iframe ya ukurasa bila kichwa cha X-Frame ambacho kina iframe nyingine, unaweza kubadilisha eneo la iframe ya mtoto.
Kwa mfano, ikiwa abc.com ina efg.com kama iframe na abc.com haikuwa na kichwa cha X-Frame, ningeweza kubadilisha efg.com kuwa evil.com kwa kutumia, frames.location
.
Hii ni muhimu sana katika postMessages kwa sababu ikiwa ukurasa unatuma data nyeti kwa kutumia wildcard kama windowRef.postmessage("","*")
inawezekana kubadilisha eneo la iframe inayohusiana (mtoto au mzazi) kwenda eneo linalodhibitiwa na mshambuliaji na kuiba data hiyo.
Last updated