# Contournement de la SOP avec les Iframes - 2

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

* Travaillez-vous dans une **entreprise de cybersécurité**? Voulez-vous voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version du PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et au [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

## Iframes dans SOP-2 Dans la [**solution**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) de ce [**challenge**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc)**,** [**@Strellic\_**](https://twitter.com/Strellic\_) propose une méthode similaire à la section précédente. Vérifions cela. Dans ce défi, l'attaquant doit **contourner** ceci: ```javascript if (e.source == window.calc.contentWindow && e.data.token == window.token) { ``` Si c'est le cas, il peut envoyer un **postmessage** avec du contenu HTML qui sera écrit dans la page avec **`innerHTML`** sans assainissement (**XSS**). La façon de contourner le **premier contrôle** est de définir **`window.calc.contentWindow`** sur **`undefined`** et **`e.source`** sur **`null`** : * **`window.calc.contentWindow`** est en fait **`document.getElementById("calc")`**. Vous pouvez écraser **`document.getElementById`** avec **``** (notez que l'API Sanitizer -[ici](https://wicg.github.io/sanitizer-api/#dom-clobbering)- n'est pas configurée pour protéger contre les attaques de substitution de DOM dans son état par défaut). * Par conséquent, vous pouvez écraser **`document.getElementById("calc")`** avec **`

`**. Ensuite, **`window.calc`** sera **`undefined`**. * Maintenant, nous devons faire en sorte que **`e.source`** soit **`undefined`** ou **`null`** (car `==` est utilisé au lieu de `===`, **`null == undefined`** est **`True`**). Obtenir cela est "facile". Si vous créez un **iframe** et **envoyez** un **postMessage** depuis celui-ci et retirez immédiatement l'iframe, **`e.origin`** sera **`null`**. Vérifiez le code suivant ```javascript let iframe = document.createElement('iframe'); document.body.appendChild(iframe); window.target = window.open("http://localhost:8080/"); await new Promise(r => setTimeout(r, 2000)); // wait for page to load iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`); document.body.removeChild(iframe); //e.origin === null ``` Pour contourner le **deuxième contrôle** concernant le jeton, il suffit d'envoyer **`token`** avec la valeur `null` et de définir la valeur de **`window.token`** sur **`undefined`** : * Envoyer `token` dans le postMessage avec la valeur `null` est trivial. * **`window.token`** appelle la fonction **`getCookie`** qui utilise **`document.cookie`**. Notez que tout accès à **`document.cookie`** dans les pages d'origine **`null`** déclenche une **erreur**. Cela fera en sorte que **`window.token`** ait la valeur **`undefined`**. La solution finale proposée par [**@terjanq**](https://twitter.com/terjanq) est la [**suivante**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html) : ```html ```

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!