Mtego wa Iframe

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Taarifa za Msingi

Aina hii ya kuutumia XSS kupitia iframes ili kuiba taarifa kutoka kwa mtumiaji anayehamia ndani ya ukurasa wa wavuti ilichapishwa asili katika machapisho haya 2 kutoka trustedsec.com: here and here.

Shambulio huanza kwenye ukurasa unaokabiliwa na XSS ambapo inawezekana kufanya waathirika wasitoke kwenye XSS kwa kuwafanya kuvinjari ndani ya iframe ambayo inachukua sehemu yote ya programu ya wavuti.

Shambulio la XSS litapakia ukurasa wa wavuti ndani ya iframe inayochukua 100% ya skrini. Kwa hivyo, mwanaathirika hatagundua kwamba yuko ndani ya iframe. Kisha, ikiwa mwanaathirika atavinjari ukurasa kwa kubofya viungo ndani ya iframe (ndani ya wavuti), yeye atatembea ndani ya iframe huku JS yoyote iliyopakiwa ikifanya wizi wa taarifa kutokana na uvinjari huo.

Zaidi ya hayo, ili kuifanya ionekane halisi zaidi, inawezekana kutumia baadhi ya listeners kukagua wakati iframe inabadilisha location ya ukurasa, na kusasisha URL ya kivinjari na hizo maeneo ambayo mtumiaji anadhani anabadilisha kurasa kwa kutumia kivinjari.

https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png

https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png

Zaidi ya hayo, inawezekana kutumia listeners kuiba taarifa nyeti — si tu kurasa nyingine mwanaathirika anazotembelea, bali pia data inayotumiwa kujazwa fomu na kuzituma (credentials?) au kuiba local storage

Bila shaka, vizingiti vikuu ni kwamba mwanaathirika akifunga tab au kuweka URL nyingine kwenye kivinjari atatoroka kutoka kwenye iframe. Njia nyingine ya kufanya hivyo ni kupakia ukurasa upya, hata hivyo, hili linaweza kwa kiasi fulani kuzuia kwa kuzima menyu ya muktadha ya bonyeza kulia kila wakati ukurasa mpya unapopakuliwa ndani ya iframe, au kutambua wakati mshale wa panya wa mtumiaji anaondoka kwenye iframe (labda ili kubofya kitufe cha reload cha kivinjari) na katika kesi hii URL ya kivinjari inasasishwa na URL ya asili iliyo hatarini kwa XSS, hivyo ikiwa mtumiaji atapakia tena, itaharibika tena (kumbuka hii si ya siri sana).

Mtego wa kisasa (2024+)

  • Tumia iframe inayochukua skrini nzima pamoja na History/Navigation API kuiga uvinjari wa kweli.
Mtego wa iframe inayochukua skrini nzima ```html ```
  • Navigation API (navigation.navigate, currententrychange) keeps the outer URL bar in sync without leaking the real URL.
  • Nenda fullscreen ili kuficha UI ya browser na kuchora bar ya anwani/padlock bandia yako mwenyewe.

Overlay & skimmer usage

  • Wauzaji waliokompromizwa wanabadilisha hosted payment iframes (Stripe, Adyen, etc.) na pixel‑perfect overlay ambayo inapeleka keystrokes wakati frame halisi inabaki chini, wakati mwingine wakitumia legacy validation APIs ili mchakato usivunike.
  • Kufunga watumiaji kwenye top frame kunakamata data za autofill/password‑manager kabla hawajatambua kuwa URL bar haiku badilika.

Evasion tricks observed in 2025 research

  • about:blank/data: local frames inherit the parent origin and bypass some content‑blocker heuristics; nested iframes can respawn even when extensions tear down third‑party frames.
  • Permission propagation: rewriting the parent allow attribute grants nested attacker frames fullscreen/camera/microphone without obvious DOM changes.

Quick OPSEC tips

  • Rudisha umakini kwenye iframe wakati panya inapoondoka (mouseleave kwenye body) ili kuzuia watumiaji kufikia UI ya browser.
  • Zima context menu na shortcuta za kawaida (keydown kwa F11, Ctrl+L, Ctrl+T) ndani ya frame ili kupunguza kasi ya majaribio ya kutoroka.
  • Ikiwa CSP inazuia inline scripts, inject a remote bootstrapper na wezesha srcdoc kwenye iframe ili payload yako iwe nje ya enforced CSP ya ukurasa mkuu.

Clickjacking

References

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks