Iframe Traps

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Taarifa za Msingi

Aina hii ya kutumia XSS kupitia iframes ili kuiba habari kutoka kwa mtumiaji anapotembea kwenye ukurasa wa wavuti ilichapishwa kwa mara ya kwanza katika machapisho haya mawili kutoka trustedsec.com: here na here.

Shambulio linaanza kwenye ukurasa ulio hatarini kwa XSS ambapo inawezekana kufanya waathiriwa wasiondoke kwenye XSS kwa kuwafanya kutembea ndani ya iframe ambayo inachukua sehemu yote ya web application.

Shambulio la XSS litapakia kimsingi ukurasa wa wavuti ndani ya iframe ikichukua 100% ya skrini. Kwa hiyo, mwanaathiriwa hatagundua kuwa yuko ndani ya iframe. Kisha, ikiwa mwanaathiriwa anatembea kwenye ukurasa kwa kubofya links ndani ya iframe (ndani ya wavuti), atakuwa akitembea ndani ya iframe huku JS ya hiari iliyopakiwa ikiiba taarifa kutoka kwenye urambazaji huo.

Zaidi ya hayo, ili kufanya iwe halisi zaidi, inawezekana kutumia baadhi ya listeners kuchunguza wakati iframe inabadilisha location ya ukurasa, na kusasisha URL ya browser kwa maeneo hayo ili mtumiaji aone kana kwamba anabadilisha kurasa kwa kutumia browser.

https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png

https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png

Zaidi ya hayo, inawezekana kutumia listeners kuiba taarifa nyeti, sio tu kurasa nyingine ambazo mwanaathiriwa anazitembelea, bali pia data zinazotumika kujaaza filled forms na kuzituma (credentials?) au kuiba local storage

Kwa hakika, vizingiti vikuu ni kwamba mwanaathiriwa akifunga tabo au kuingiza URL nyingine kwenye browser ataondoka kwenye iframe. Njia nyingine ya kufanya hivi itakuwa kwa kurefresh ukurasa, hata hivyo, hii inaweza kwa sehemu kuzuia kwa kuzima meni ya muktadha ya bofya kulia kila wakati ukurasa mpya unapopakuliwa ndani ya iframe au kutambua wakati panya wa mtumiaji anapoacha iframe, labda ili kubofya kitufe cha reload cha browser na katika kesi hiyo URL ya browser inasasishwa na URL ya awali iliyo hatarini kwa XSS hivyo ikiwa mtumiaji ata-refresh, itachakaa tena (kumbuka kwamba hii si ya siri sana).

Modernised trap (2024+)

  • Tumia full‑viewport iframe pamoja na History/Navigation API kuiga urambazaji wa kweli.
Full-viewport iframe trap ```html ```
  • Navigation API (navigation.navigate, currententrychange) hufanya bar ya URL ya nje kusawazishwa bila ku-leak URL halisi.
  • Nenda fullscreen kuficha UI ya browser na kuchora bar ya anwani/padlock ya uongo.

Overlay & skimmer usage

  • Wauzaji walioathirika hubadilisha hosted payment iframes (Stripe, Adyen, etc.) na pixel‑perfect overlay inayotuma keystrokes huku fremu halisi ikiwa chini, wakati mwingine wakitumia legacy validation APIs ili mtiririko usivunjike.
  • Kuwakaba watumiaji katika fremu ya juu kunakamata data ya autofill/password‑manager kabla hawajagundua kwamba bar ya URL haikubadilika.

Evasion tricks observed in 2025 research

  • about:blank/data: local frames huchukua parent origin na hupita heuristics za content‑blocker; nested iframes zinaweza ku-respawn hata wakati extensions zinaifuta third‑party frames.
  • Permission propagation: kurekebisha parent allow attribute kunampa nested attacker frames fullscreen/camera/microphone bila mabadiliko ya DOM yanayoonekana.

Quick OPSEC tips

  • Re‑focus the iframe wakati panya inapoacha (mouseleave on body) ili kuzuia watumiaji kufikia UI ya browser.
  • Zima context menu na shortcuts za kawaida (keydown for F11, Ctrl+L, Ctrl+T) ndani ya frame ili kuchelewesha jaribio za kutoroka.
  • Ikiwa CSP inazuia inline scripts, inject a remote bootstrapper na iwezeshe srcdoc kwenye iframe ili payload yako iwe nje ya CSP inayotekelezwa ya ukurasa mkuu.

Clickjacking

References

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks