欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

突破IE安全限制获取iframe子框架内的本地cookie

程序员文章站 2022-05-13 08:09:19
作者:aullik5 今天这篇主要是要讲以下这么几件事情: 1. iframe的限制 2. 突破iframe获取本地cookie的思路 3. 利用Cross Iframe Trick突破iframe安全限制 我的测试... 08-10-08...
作者:aullik5

今天这篇主要是要讲以下这么几件事情:
1. iframe的限制
2. 突破iframe获取本地cookie的思路
3. 利用cross iframe trick突破iframe安全限制

我的测试环境是: ie 7 (7.0.5730.13)

以下所有的内容全部经过我在ie7中测试,是真实有效的结果。

iframe的限制:
因为iframe这个玩意比较特殊,所以浏览器对它一般都有一些限制。

首先父窗口不能控制子窗口的js,只能读取一些对象;子窗口也不能使用父窗口的js,也只能读部分对象,更多的比如document啥的都限制了。

关系如下:

- iframe's should not be able to view content/cookies from another domain
- iframe children can view certain properties and execute certain behaviors
- parent.window.blur
- parent.window.opener
- parent.window.length
- others

- iframe children can redirect the parent frame to a new location (great for phishing)
- parent.location.href
- parent.window.location对于有些利用子窗口执行父窗口js的方法是限制的
比如,在子窗口里可以这么使用:
parent.location.href="http://www.sohu.com";

上面的语句将把父窗口重新定义到sohu的网站去.

但是如果想执行js,或者是读取document对象,则会被拒绝访问
parent.location.href=new string("javascript:alert(document.cookie)");
parent.location.href=new string("javascript:alert(1)");

像这两条都会被拒绝。

对于iframe,firefox3 居然是不限制本地cookie发送的!也就是说,在firefox环境里,使用iframe包含一个远程页面,是会将保存在本地的cookie发送出去的,这使得csrf会非常之方便。

但是ie不同,对于ie环境中,img和iframe标签都只能发送session cookie,无法发送本地cookie,所以很多时候csrf会失败,这也会给xss带来很大的麻烦,比如会使得xsrf更困难一些。

鉴于firefox一点挑战都没有,所以今天主要研究的对象是ie。

在ie环境下,程序员们一般都是使用p3p协议来获取跨域cookie的,但是p3p也要求我们改写http头,更麻烦,在这里,我纯粹使用一些脚本的技巧来突破这些限制。

突破iframe限制的思路:(以下都是在ie环境中)
由于页面里的iframe都是发送的session cookie,所以子框架页面里本身是只有一个session cookie的,我们无法通过在子框架里执行js的方法来获取本地cookie,无中生有的事情是干不出来的。

了解这一原理后,思路就很明确了:想办法新起一个不受限制的窗口,从而获取本地cookie。

具体来说,有这么两个办法:
1、 使用window.open打开一个新窗口
2、 回到父窗口,让其打开一个新窗口

在子框架中,使用window.open()确实可以发送本地cookie,但是问题是浏览器一般会限制页面弹窗口,会被拦截,所以这个方法比较囧~~,不是个好办法。

而第二个办法,回到父窗口去打开新窗口,就涉及到一个突破iframe执行脚本的问题,而这个问题在我的前一篇cross iframe trick 里已经解决了,所以我们的方法就呼之欲出了。

利用cross iframe trick突破iframe限制获取子框架cookie:

cross iframe的最大贡献就在于他可以绕过前面提到的iframe的限制,在父域或者子框架里获取对象,执行脚本。

当一个页面很难突破时,如果他包含了一个存在弱点的iframe页面,则可能会带来灾难性的结果。

我相信真正精通脚本攻击的人是能够看到它的用处和优势的。

环境如下:(绑定127.0.0.1 www.baidu.com)
http://www.a.com/1.html 是我们要攻击的页面,它包含了一个存在弱点的iframe,用户只会去浏览这个页面

http://www.baidu.com/3.html 是我们已经控制的页面,他作为一个iframe被1.html所包含。在这里是iframe proxy

http://www.a.com/4.html 是www.a.com上的一个存在xss漏洞的页面,一般情况下用户不会去访问它!

http://www.b.com/4.js 这是攻击者自己的服务器上的一个恶意脚本,将被xss攻击远程载入4.html中。

由于用户只会浏览www.a.com/1.html,所以我们要通过脚本攻击,从www.a.com/1.html里获取用户在www.baidu.com/3.html的本地cookie。