Iframe Tuzakları

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

Web sayfası içinde gezinirken kullanıcının bilgilerini çalmak amacıyla iframes aracılığıyla XSS’i kötüye kullanmanın bu biçimi, başlangıçta trustedsec.com’da yayınlanan şu iki gönderide anlatılmıştır: here and here.

Saldırı, XSS’e açık bir sayfada başlar; burada amaç, tüm web uygulamasını kaplayan bir iframe içinde gezinmelerini sağlayarak kurbanların XSS’ten ayrılmamasını sağlamaktır.

XSS saldırısı, esasen web sayfasını ekranın %100’ünü kaplayan bir iframe içine yükler. Bu nedenle kurban iframe içinde olduğunu fark etmeyecek. Daha sonra kurban iframe içindeki linklere tıklayarak sayfada gezinirse, yüklenmiş rastgele JS ile bu gezinmeden bilgi çalınırken iframe içinde geziniyor olacak.

Daha gerçekçi yapmak için, iframe’in sayfanın konumunu değiştirdiği zamanı kontrol etmek ve tarayıcının URL’sini, kullanıcının tarayıcıyı kullanarak sayfalar arasında gezindiğini düşündüğü konumlarla güncellemek için bazı listeners kullanılabilir.

https://www.trustedsec.com/wp-content/uploads/2022/04/regEvents.png

https://www.trustedsec.com/wp-content/uploads/2022/04/fakeAddress-1.png

Ayrıca, listeners kullanılarak yalnızca kurbanın ziyaret ettiği diğer sayfalar değil, aynı zamanda doldurulan formlarda kullanılan veriler (kimlik bilgileri?) gönderilebilir veya local storage’ı çalmak mümkün olabilir…

Elbette, başlıca sınırlama, bir kurbanın sekmeyi kapatması veya tarayıcıya başka bir URL girmesi iframe’den çıkmasını sağlar. Bunun başka bir yolu da sayfayı yenilemektir, ancak bu, her yeni sayfa iframe içinde yüklendiğinde sağ tıklama bağlam menüsünü devre dışı bırakarak veya kullanıcının faresinin iframe’den çıktığını tespit ederek kısmen önlenebilir; kullanıcı muhtemelen tarayıcının yenile butonuna tıklayacak ve bu durumda tarayıcının URL’si XSS’e açık orijinal URL ile güncellenir, böylece kullanıcı sayfayı yenilerse tekrar zehirlenmiş olur (bu çok gizli bir yöntem değildir).

Modernleştirilmiş tuzak (2024+)

  • Bir full‑viewport iframe ve History/Navigation API kullanarak gerçek gezintiyi taklit edin.
Full-viewport iframe tuzağı ```html ```
  • Navigation API (navigation.navigate, currententrychange) dış URL çubuğunu senkron tutar ve gerçek URL’yi leak etmeden korur.
  • Go fullscreen to hide browser UI and draw your own fake address bar/padlock.

Overlay & skimmer usage

  • Compromised merchants replace hosted payment iframes (Stripe, Adyen, etc.) with a pixel‑perfect overlay that forwards keystrokes while the real frame stays underneath, sometimes using legacy validation APIs so the flow never breaks.
  • Trapping users in the top frame captures autofill/password‑manager data before they notice the URL bar never changed.

2025 araştırmasında gözlemlenen kaçınma teknikleri

  • about:blank/data: local frames parent origin’ı devralır ve bazı content‑blocker heuristics’lerini atlar; nested iframes, extensions üçüncü taraf çerçeveleri kaldırsa bile yeniden ortaya çıkabilir.
  • Permission propagation: parent allow attribute’ını yeniden yazarak nested attacker frame’lere fullscreen/camera/microphone izinleri DOM’da bariz değişiklik olmadan verir.

Quick OPSEC tips

  • Fare ayrıldığında (mouseleave on body) iframe’e yeniden odaklanarak kullanıcıların tarayıcı UI’sına ulaşmasını engelleyin.
  • Çerçeve içinde context menu’yu ve yaygın kısayolları (keydown ile F11, Ctrl+L, Ctrl+T) devre dışı bırakarak kaçış denemelerini yavaşlatın.
  • Eğer CSP inline scripts’i engelliyorsa, uzaktan bir bootstrapper enjekte edin ve iframe’te srcdoc’u etkinleştirerek payload’unuzun ana sayfanın uygulanmış CSP’sinin dışında çalışmasını sağlayın.

Clickjacking

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin