7.3 KiB
Iframe Traps
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the ЁЯТм Discord group or the telegram group or follow us on Twitter ЁЯРж @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Basic Information
XSS рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ iframes рдХрд╛ рдпрд╣ рд░реВрдк рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реЗ рдЬрд╛рдирдХрд╛рд░реА рдЪреБрд░рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╡реЗрдм рдкреГрд╖реНрда рдкрд░ рдЪрд▓рдиреЗ рдХреЗ рджреМрд░рд╛рди рдореВрд▓ рд░реВрдк рд╕реЗ trustedsec.com рдкрд░ рдЗрди 2 рдкреЛрд╕реНрдЯ рдореЗрдВ рдкреНрд░рдХрд╛рд╢рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛: рдпрд╣рд╛рдВ рдФрд░ рдпрд╣рд╛рдВред
рд╣рдорд▓рд╛ рдПрдХ рдРрд╕реЗ рдкреГрд╖реНрда рдкрд░ рд╢реБрд░реВ рд╣реЛрддрд╛ рд╣реИ рдЬреЛ XSS рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИ рдЬрд╣рд╛рдВ рдпрд╣ рд╕рдВрднрд╡ рд╣реИ рдХрд┐ рд╢рд┐рдХрд╛рд░рд┐рдпреЛрдВ рдХреЛ XSS рдЫреЛрдбрд╝рдиреЗ рди рджреЗрдВ рдЙрдиреНрд╣реЗрдВ рдПрдХ iframe рдХреЗ рднреАрддрд░ рдиреЗрд╡рд┐рдЧреЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордЬрдмреВрд░ рдХрд░рдХреЗ рдЬреЛ рдкреВрд░реЗ рд╡реЗрдм рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЛ рдХрд╡рд░ рдХрд░рддрд╛ рд╣реИред
XSS рд╣рдорд▓рд╛ рдореВрд▓ рд░реВрдк рд╕реЗ 100% рд╕реНрдХреНрд░реАрди рдореЗрдВ рдПрдХ iframe рдореЗрдВ рд╡реЗрдм рдкреГрд╖реНрда рдХреЛ рд▓реЛрдб рдХрд░реЗрдЧрд╛ред рдЗрд╕рд▓рд┐рдП, рд╢рд┐рдХрд╛рд░ рдирд╣реАрдВ рджреЗрдЦреЗрдЧрд╛ рдХрд┐ рд╡рд╣ рдПрдХ iframe рдХреЗ рдЕрдВрджрд░ рд╣реИред рдлрд┐рд░, рдпрджрд┐ рд╢рд┐рдХрд╛рд░ iframe рдХреЗ рдЕрдВрджрд░ (рд╡реЗрдм рдХреЗ рдЕрдВрджрд░) рд▓рд┐рдВрдХ рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░рдХреЗ рдкреГрд╖реНрда рдкрд░ рдиреЗрд╡рд┐рдЧреЗрдЯ рдХрд░рддрд╛ рд╣реИ, рддреЛ рд╡рд╣ iframe рдХреЗ рдЕрдВрджрд░ рдиреЗрд╡рд┐рдЧреЗрдЯ рдХрд░ рд░рд╣рд╛ рд╣реЛрдЧрд╛ рдЬрд┐рд╕рдореЗрдВ рдордирдорд╛рдирд╛ JS рд▓реЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдЬреЛ рдЗрд╕ рдиреЗрд╡рд┐рдЧреЗрд╢рди рд╕реЗ рдЬрд╛рдирдХрд╛рд░реА рдЪреБрд░рд╛ рд░рд╣рд╛ рд╣реИред
рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдЗрд╕реЗ рдФрд░ рдЕрдзрд┐рдХ рдпрдерд╛рд░реНрдерд╡рд╛рджреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП, рдХреБрдЫ listeners рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИ рдпрд╣ рдЬрд╛рдВрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐ рдХрдм рдПрдХ iframe рдкреГрд╖реНрда рдХреЗ рд╕реНрдерд╛рди рдХреЛ рдмрджрд▓рддрд╛ рд╣реИ, рдФрд░ рдЙрд╕ рд╕реНрдерд╛рди рдХреЗ рд╕рд╛рде рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдХреЗ URL рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░реЗрдВ рдЬреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реЛрдЪрддрд╛ рд╣реИ рдХрд┐ рд╡рд╣ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреГрд╖реНрдареЛрдВ рдХреЛ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░ рд░рд╣рд╛ рд╣реИред
https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png
https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png
рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдЬрд╛рдирдХрд╛рд░реА рдЪреБрд░рд╛рдиреЗ рдХреЗ рд▓рд┐рдП listeners рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИ, рди рдХреЗрд╡рд▓ рдЕрдиреНрдп рдкреГрд╖реНрдареЛрдВ рд╕реЗ рдЬреЛ рд╢рд┐рдХрд╛рд░ рджреЗрдЦ рд░рд╣рд╛ рд╣реИ, рдмрд▓реНрдХрд┐ рдлреЙрд░реНрдо рднрд░реЗ рдЧрдП рдбреЗрдЯрд╛ рдХреЛ рднреА рднреЗрдЬрдиреЗ рдХреЗ рд▓рд┐рдП (рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓?) рдпрд╛ рд╕реНрдерд╛рдиреАрдп рд╕рдВрдЧреНрд░рд╣рдг рдЪреБрд░рд╛рдиреЗ рдХреЗ рд▓рд┐рдП...
рдмреЗрд╢рдХ, рдореБрдЦреНрдп рд╕реАрдорд╛рдПрдВ рдпрд╣ рд╣реИрдВ рдХрд┐ рдПрдХ рд╢рд┐рдХрд╛рд░ рдЯреИрдм рдмрдВрдж рдХрд░рдиреЗ рдпрд╛ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдореЗрдВ рдПрдХ рдФрд░ URL рдбрд╛рд▓рдиреЗ рд╕реЗ iframe рд╕реЗ рдмрд╛рд╣рд░ рдирд┐рдХрд▓ рдЬрд╛рдПрдЧрд╛ред рдЗрд╕реЗ рдХрд░рдиреЗ рдХрд╛ рдПрдХ рдФрд░ рддрд░реАрдХрд╛ рд╣реЛрдЧрд╛ рдкреГрд╖реНрда рдХреЛ рддрд╛рдЬрд╝рд╛ рдХрд░рдирд╛, рд╣рд╛рд▓рд╛рдБрдХрд┐, рдЗрд╕реЗ рд╣рд░ рдмрд╛рд░ рдЬрдм рдПрдХ рдирдпрд╛ рдкреГрд╖реНрда iframe рдХреЗ рдЕрдВрджрд░ рд▓реЛрдб рд╣реЛрддрд╛ рд╣реИ, рддреЛ рджрд╛рдПрдВ рдХреНрд▓рд┐рдХ рд╕рдВрджрд░реНрдн рдореЗрдиреВ рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдХреЗ рдЖрдВрд╢рд┐рдХ рд░реВрдк рд╕реЗ рд░реЛрдХрдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИ рдпрд╛ рдпрд╣ рдиреЛрдЯрд┐рд╕ рдХрд░рдХреЗ рдХрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдорд╛рдЙрд╕ iframe рдХреЛ рдЫреЛрдбрд╝ рджреЗрддрд╛ рд╣реИ, рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдХреЗ рд░реАрд▓реЛрдб рдмрдЯрди рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдФрд░ рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдХрд╛ URL рдореВрд▓ URL рдХреЗ рд╕рд╛рде рдЕрдкрдбреЗрдЯ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬреЛ XSS рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдпрджрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЗрд╕реЗ рд░реАрд▓реЛрдб рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рдлрд┐рд░ рд╕реЗ рд╕рдВрдХреНрд░рдорд┐рдд рд╣реЛ рдЬрд╛рдПрдЧрд╛ (рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдпрд╣ рдмрд╣реБрдд рдЫрд┐рдкрд╛ рд╣реБрдЖ рдирд╣реАрдВ рд╣реИ)ред
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the ЁЯТм Discord group or the telegram group or follow us on Twitter ЁЯРж @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.