Iframe Valstrikke

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Hierdie vorm van misbruik van XSS via iframes om inligting van die gebruiker te steel terwyl hy oor die webblad beweeg, is oorspronklik gepubliseer in hierdie 2 plasings vanaf trustedsec.com: here and here.

Die aanval begin op ’n bladsy wat vatbaar is vir XSS waar dit moontlik is om die victims don’t leave the XSS te maak deur hulle te laat navigate within an iframe wat die hele webtoepassing beslaan.

Die XSS-aanval laai basies die webbladsy in ’n iframe wat 100% van die skerm inneem. Daarom sal die slagoffer won’t notice he is inside an iframe. As die slagoffer dan op die bladsy navigeer deur op skakels binne die iframe (binne die web) te klik, sal hy navigating inside the iframe wees met die willekeurige JS wat gelaai is en inligting uit daardie navigasie steel.

Verder, om dit meer realisties te maak, is dit moontlik om sommige listeners te gebruik om te kontroleer wanneer ’n iframe die ligging van die bladsy verander, en die URL van die browser op te dateer met daardie lokasies sodat die gebruiker dink hy beweeg tussen bladsye met die browser.

https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png

https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png

Verder is dit moontlik om listeners te gebruik om sensitiewe inligting te steel — nie net die ander bladsye wat die slagoffer besoek nie, maar ook die data wat in filled forms ingevoer word en dit te stuur (credentials?) of om steal the local storage

Ofc, die hoofbeperkings is dat ’n victim closing the tab or putting another URL in the browser will escape the iframe. ’n Ander manier om te ontsnap is om die bladsy te refresh the page, maar dit kan gedeeltelik prevented word deur die regsklik-konteksmenu te deaktiveer elke keer as ’n nuwe bladsy in die iframe gelaai word, of deur te let wanneer die muis van die gebruiker die iframe verlaat — moontlik om die herlaai-knoppie van die browser te klik en in daardie geval word die URL van die browser bygewerk met die oorspronklike URL wat vir XSS vatbaar is, so as die gebruiker dit herlaai, sal dit weer vergiftig word (let wel: dit is nie baie stealth nie).

Gemoderniseerde valstrik (2024+)

  • Gebruik ’n full‑viewport iframe plus History/Navigation API om ware navigasie na te boots.
Full-viewport iframe valstrik ```html ```
  • Navigation API (navigation.navigate, currententrychange) hou die buitenste URL-balk in sync sonder om die werklike URL te leak.
  • Go fullscreen om die blaaier-UI te versteek en jou eie vervalste adresbalk/padslot te teken.

Overlay & skimmer usage

  • Gekompromitteerde merchants vervang hosted payment iframes (Stripe, Adyen, etc.) met ’n pixel‑perfect overlay wat keystrokes deurstuur terwyl die werklike frame daaronder bly, soms onder gebruik van legacy validation APIs sodat die flow nooit breek nie.
  • Trapping users in the top frame capture autofill/password‑manager data voordat hulle opmerk dat die URL-balk nooit verander het nie.

Evasion tricks observed in 2025 research

  • about:blank/data: local frames erf die parent origin en omseil sekere content‑blocker heuristieke; nested iframes kan respawn selfs wanneer extensions third‑party frames afbreek.
  • Permission propagation: herskryf van die parent allow attribute gee geneste attacker frames fullscreen/camera/microphone sonder duidelike DOM-veranderings.

Quick OPSEC tips

  • Herfokus die iframe wanneer die muis verlaat (mouseleave on body) om te voorkom dat gebruikers die blaaier-UI bereik.
  • Skakel kontekstmenu en algemene kortpaaie uit (keydown vir F11, Ctrl+L, Ctrl+T) binne die frame om ontsnappingspogings te vertraag.
  • As CSP inline scripts blokkeer, injekteer ’n remote bootstrapper en skakel srcdoc op die iframe aan sodat jou payload buite die afgedwingde CSP van die hoofblad woon.

Clickjacking

References

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks