我思考了很久才把這里面的錯(cuò)綜復(fù)雜的關(guān)系整清楚，我想很多人看我下面的paper會(huì)睡著，或者干脆“一目百行”的跳過去，但如果你真的想弄懂，請(qǐng)調(diào)試我的 每一個(gè)poc，會(huì)非常有助于理解(雖然你還是可能會(huì)暈)。請(qǐng)尊重俺的勞動(dòng)成果，碼這么多字不容易。歡迎技術(shù)討論，但謝絕沒仔細(xì)看就來指手畫腳的。@_@
　　首先，為了幫助大家更好的理解，我先講講這種攻擊能夠達(dá)成什么效果：
　　1. 跨域執(zhí)行腳本(IE、Firefox)
　　2. 把非持久性XSS變成持久性XSS
　　3. 跨頁面執(zhí)行腳本
　　4. 瀏覽器將很難修補(bǔ)這一“特性”造成的威脅
　　5. 當(dāng)然還是有一些條件限制的,本篇只是在理論上描述了這種攻擊。
　　那么，什么是cross iframe，簡單來說就是把iframe做一個(gè)迭代，以實(shí)現(xiàn)一些iframe之間的交叉數(shù)據(jù)訪問。在正常的web應(yīng)用中，許多地方都有用到這種技術(shù)，比如facebook，比如yahoo。
　　但是由cross iframe引申出來一些安全隱患，則是我這里要探討的重點(diǎn)。
　　以下是我的測(cè)試環(huán)境：
　　Windows XP SP2
　　IE 6 SP2 (我只有IE6，沒有IE7，請(qǐng)自行測(cè)試IE7)
　　Firefox 2.0.0.16
　　測(cè)試域名：
　　www.A.com (/1.html , /4.html)
　　www.B.com (/2.html , /3.html)
　　這次測(cè)試主要使用了4個(gè)html頁面，請(qǐng)牢記1.html和4.html是在域A下; 2.html和3.html是在域B下
　　首先來看看什么是Cross Iframe， 他們又能干些什么。
　　Rule1: 同一個(gè)頁面下的兩個(gè)iframe，如果這兩個(gè)iframe指向同一個(gè)域，那么他們可以互相訪問，并操作對(duì)方頁面的腳本。
　　在 www.A.com 上，存在一個(gè) 1.html ，包含了兩個(gè)iframe，這兩個(gè)iframe分別引用了www.B.com 上的兩個(gè)頁面。其代碼如下：
1.html:

　　現(xiàn)在我們的目的就是利用 iframe：tt2_2 去調(diào)用 iframe：tt2_3里的javascript的函數(shù)。
　　3.html的代碼如下：

function alertpoc(){
alert("alert POC");
}
2.html的代碼如下：
2.html：
window.onload = function() {
parent.frames["tt2_3].alertpoc();
}
　　那么，當(dāng)訪問 http://www.A.com/1.html 時(shí)，iframe：tt2_2中的腳本在www.B.com執(zhí)行了，它通過讀父窗口的iframe：tt2_3，嘗試在其中執(zhí)行腳本函數(shù) alertpoc()。由于tt2_2與tt2_3同在www.B.com 域中，所以他們之間不存在跨域問題，腳本被允許執(zhí)行。



　　Rule2：域B能夠以 iframe proxy 的方式，操作域A上的腳本，或者傳遞信息，實(shí)現(xiàn)跨域操作。
　　什么叫iframe proxy呢?其實(shí)就是做了一次iframe的迭代。
　　如下：
　　http://www.A.com/1.html 中包含一個(gè)iframe，指向 http://www.B.com/3.html
　　http://www.B.com/3.html 中又包含一個(gè)iframe，指向 http://www.A.com/4.html
　　那么這個(gè)3.html就是一個(gè)iframe proxy，通過 3.html 就能從B域 向 A域的 4.html傳遞消息，如果4.html還有一些處理的話，就可以執(zhí)行腳本。

最新評(píng)論