Iframe Traps

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

बुनियादी जानकारी

This form of abusing XSS via iframes to steal information from the user moving across the web page was originally published in these 2 post from trustedsec.com: here and here.

यह iframes के माध्यम से XSS का एक रूप है जो वेब पेज पर नेविगेट करते समय उपयोगकर्ता से जानकारी चुराने के लिए उपयोग होता है और मूलतः trustedsec.com के इन 2 पोस्ट में प्रकाशित हुआ था: here and here.

हमला उस पेज से शुरू होता है जो XSS के लिए कमजोर होता है, जहाँ यह संभव होता है कि पीड़ित XSS से बाहर न जाएँ और उन्हें पूरा वेब एप्लिकेशन घेरने वाले iframe के भीतर नेविगेट करने पर मजबूर किया जाए।

XSS हमला मूल रूप से वेब पेज को स्क्रीन के 100% पर एक iframe में लोड कर देगा। इसलिए, पीड़ित नोटिस नहीं करेगा कि वह iframe के अंदर है। फिर, यदि पीड़ित iframe के अंदर लिंक क्लिक करके पेज पर नेविगेट करता है (वेब के भीतर), तो वह iframe के अंदर नेविगेट करेगा और वहाँ लोड किया गया arbitrary JS उस नेविगेशन से जानकारी चुरा रहा होगा।

और अधिक वास्तविक बनाने के लिए, कुछ listeners का उपयोग करके यह जांचना संभव है कि जब iframe पेज का location बदलता है, और ब्राउज़र के URL को उन locations के साथ अपडेट करना जिनके बारे में यूज़र सोचता है कि वह ब्राउज़र से पेज बदल रहा है।

https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png

https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png

इसके अलावा, listeners का उपयोग संवेदनशील जानकारी चुराने के लिए किया जा सकता है — न केवल वे अन्य पेज जो पीड़ित विज़िट कर रहा है, बल्कि भरे गए फॉर्म के डेटा को भी कैप्चर कर उन्हें भेजना (credentials?) या local storage चुराना

बेशक, मुख्य सीमाएँ ये हैं कि एक पीड़ित टॅब बंद कर देगा या ब्राउज़र में कोई दूसरा URL डाल देगा तो वह iframe से बाहर निकल जाएगा। यह करने का एक और तरीका पेज को refresh the page करना होगा, हालांकि इसे आंशिक रूप से रोकना संभव है — हर बार जब iframe के अंदर एक नया पेज लोड हो तो right click context menu disable कर देना या यह नोटिस करना जब यूज़र का माउस iframe छोड़ता है (संभावित रूप से ब्राउज़र के reload button पर क्लिक करने के लिए) — और इस स्थिति में ब्राउज़र का URL original URL (जो XSS के लिए vulnerable था) से अपडेट हो जाता है, तो अगर यूज़र इसे reload करता है तो यह फिर से संक्रमित हो जाएगा (नोट: यह बहुत stealthy नहीं है)।

आधुनिक ट्रैप (2024+)

  • Use a full‑viewport iframe plus History/Navigation API to mimic real navigation.
पूर्ण-व्यूपोर्ट iframe ट्रैप ```html ```
  • Navigation API (navigation.navigate, currententrychange) बाहरी URL बार को सिंक में रखता है बिना असली URL को leaking किए।
  • ब्राउज़र UI को छिपाने के लिए fullscreen पर जाएँ और अपना नकली address bar/padlock बनाकर दिखाएँ।

Overlay & skimmer उपयोग

  • Compromised merchants होस्टेड payment iframes (Stripe, Adyen, आदि) को pixel‑perfect overlay से बदल देते हैं जो keystrokes को फ़ॉरवर्ड करता है जबकि असली frame नीचे रहता है, कभी‑कभी legacy validation APIs का उपयोग करके ताकि flow कभी न टूटे।
  • उपयोगकर्ताओं को top frame में फँसाने से autofill/password‑manager डेटा पकड़ा जाता है इससे पहले कि वे नोटिस करें कि URL बार कभी नहीं बदला।

Evasion tricks observed in 2025 research

  • about:blank/data: local frames parent origin को inherit करते हैं और कुछ content‑blocker heuristics को bypass कर लेते हैं; nested iframes तब भी respawn कर सकते हैं जब extensions third‑party frames को tear down कर देते हैं।
  • Permission propagation: parent allow attribute को rewrite करने से nested attacker frames को fullscreen/camera/microphone बिना स्पष्ट DOM बदलाव के मिल जाते हैं।

Quick OPSEC टिप्स

  • iframe को पुनः फ़ोकस करें जब माउस हटे (mouseleave on body) ताकि उपयोगकर्ता browser UI तक न पहुँच पाएं।
  • context menu और सामान्य शॉर्टकट्स (keydown for F11, Ctrl+L, Ctrl+T) को frame के अंदर disable करें ताकि escape प्रयास धीमे हों।
  • अगर CSP inline scripts को ब्लॉक करता है, तो एक remote bootstrapper inject करें और iframe पर srcdoc enable करें ताकि आपका payload main page के enforced CSP के बाहर रहे।

Clickjacking

References

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें