Attack Vector 3：如果域A下的某個(gè)頁(yè)面z中，包含了指向域B的兩個(gè)iframe，分別是x和y;那么x能夠通過z，對(duì)y的某些對(duì)象進(jìn)行一定的修改，從而篡改數(shù)據(jù)，或者是篡改函數(shù)的參數(shù)，執(zhí)行腳本。此時(shí)z起著iframe proxy的作用。
　　這段話可能有點(diǎn)拗口，其實(shí)就是父窗口在這里起了iframe proxy的作用。根據(jù)rule 1，我們有以下實(shí)例：
2.html：
window.onload = function() {
parent.frames["tt2_3].document.getElementById("3").value="222";
parent.frames["tt2_3].alertpoc1();
}

2.html將調(diào)用 3.html 中的 alertpoc1()函數(shù)，并修改 input框的值為222
3.html：
//function alertpoc(){ alert("alert POC"); }
function alertpoc1(){ alert(window.location.href); }
　　此時(shí)，訪問http://www.A.com/1.html 后，發(fā)現(xiàn)input的值被成功修改，同事alertpoc1彈出顯示的是3.html的地址。


　　這種攻擊實(shí)際上還是攻擊的 http://www.A.com 下的 1.html 這個(gè)頁(yè)面(注意這個(gè)是和普通XSS攻擊的本質(zhì)區(qū)別，攻擊的目標(biāo)頁(yè)面不同)，因?yàn)閕frame： 3.html 是顯示在 1.html 里的。在實(shí)際中用到這種情況的可能是某個(gè)頁(yè)面里要顯示一個(gè)報(bào)表，那么這個(gè)報(bào)表可以采用iframe的方式嵌入在頁(yè)面中。
　　實(shí)施這種攻擊，可以隨意篡改報(bào)表里的數(shù)據(jù)。攻擊來(lái)源卻是在另外一個(gè)iframe里實(shí)現(xiàn)的，和當(dāng)前的1.html 沒有直接關(guān)系。
　　如果結(jié)合JSON Hijacking，直接在2.html中調(diào)用 3.html 里的一些回調(diào)函數(shù)，竊取敏感數(shù)據(jù)，也可能會(huì)起到一些意想不到的作用。因?yàn)樵谶@里，我們?cè)俅伟袹SON CallBack函數(shù)持久化了，而且json返回的數(shù)據(jù)將顯示在1.html里，更具有欺騙性。
　　所以這第三種攻擊方法在篡改數(shù)據(jù)方面帶來(lái)了更高的風(fēng)險(xiǎn)。
　　以上可以看出，Cross Iframe Trick最大的優(yōu)勢(shì)就是隱蔽性
　　攻擊就像來(lái)自天外一樣，幾乎無(wú)跡可尋。
　　局限性：
　　1、首先iframe是限制發(fā)送cookie的，本地存儲(chǔ)的stored cookie將不被發(fā)送，只能發(fā)送一個(gè)session cookie。瀏覽器的這個(gè)安全特性將使得我們使用XSRF的可能性更低。
　　但也不是沒有辦法，比如在 4.html 里使用一個(gè) window.open() 就能夠發(fā)送出stored cookie了，當(dāng)然可能還有更好的方法。
　　不過雖然限制了cookie，導(dǎo)致XSRF會(huì)有些困難，但是能夠執(zhí)行目標(biāo)域下的腳本，還是非常有價(jià)值的一件事情，已經(jīng)可以完成許多攻擊了。
　　2、其次，要在A域?qū)ふ业竭@樣一個(gè)用iframe包含B域的頁(yè)面，并且去控制iframe中的B域頁(yè)面，才是最為不容易的事情。這個(gè)條件是比較苛刻的。如果有朋友能找到現(xiàn)實(shí)網(wǎng)站中的案例，請(qǐng)給我一個(gè)反饋。
　　最后，正如最開始所說(shuō)，要修補(bǔ)這種漏洞非常困難，因?yàn)檫@完全是瀏覽器的正常功能。如果要限制iframe的話，微軟自己在IE里實(shí)現(xiàn)了iframe的一個(gè)security屬性，可以限制框架頁(yè)面里腳本的執(zhí)行。也許還有其他的方法可以來(lái)對(duì)抗，但是，就不是我們今天要討論的話題了。
　　我雖然只是在理論上提出了Cross Iframe Trick這種威脅，但是我認(rèn)為這幾乎可以算成是一種漏洞類型。它是許多腳本攻擊技術(shù)的結(jié)合應(yīng)用技巧，而程序員又往往會(huì)忽略這些地方。所以這種威脅是真實(shí)存在的，而且是可以長(zhǎng)期挖掘和利用的一種“漏洞類型”

最新評(píng)論