# Bypassing SOP with Iframes - 2 {{#include ../../banners/hacktricks-training.md}} ## Iframes in SOP-2 Na [**solução**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) para este [**desafio**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc)**,** [**@Strellic\_**](https://twitter.com/Strellic_) propõe um método semelhante à seção anterior. Vamos verificar. Neste desafio, o atacante precisa **bypass** isto: ```javascript if (e.source == window.calc.contentWindow && e.data.token == window.token) { ``` Se ele fizer isso, ele pode enviar um **postmessage** com conteúdo HTML que será escrito na página com **`innerHTML`** sem sanitização (**XSS**). A maneira de contornar a **primeira verificação** é tornando **`window.calc.contentWindow`** **`undefined`** e **`e.source`** **`null`**: - **`window.calc.contentWindow`** é na verdade **`document.getElementById("calc")`**. Você pode sobrescrever **`document.getElementById`** com **``** (note que a Sanitizer API -[aqui](https://wicg.github.io/sanitizer-api/index.html#dom-clobbering)- não está configurada para proteger contra ataques de clobbering de DOM em seu estado padrão). - Portanto, você pode sobrescrever **`document.getElementById("calc")`** com **`

`**. Então, **`window.calc`** será **`undefined`**. - Agora, precisamos que **`e.source`** seja **`undefined`** ou **`null`** (porque `==` é usado em vez de `===`, **`null == undefined`** é **`True`**). Conseguir isso é "fácil". Se você criar um **iframe** e **enviar** um **postMessage** dele e imediatamente **remover** o iframe, **`e.origin`** será **`null`**. Verifique o seguinte código ```javascript let iframe = document.createElement("iframe") document.body.appendChild(iframe) window.target = window.open("http://localhost:8080/") await new Promise((r) => setTimeout(r, 2000)) // wait for page to load iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`) document.body.removeChild(iframe) //e.origin === null ``` Para contornar a **segunda verificação** sobre o token, enviando **`token`** com valor `null` e fazendo o valor de **`window.token`** ser **`undefined`**: - Enviar `token` no postMessage com valor `null` é trivial. - **`window.token`** ao chamar a função **`getCookie`** que usa **`document.cookie`**. Note que qualquer acesso a **`document.cookie`** em páginas de origem **`null`** aciona um **erro**. Isso fará com que **`window.token`** tenha valor **`undefined`**. A solução final de [**@terjanq**](https://twitter.com/terjanq) é a [**seguinte**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html): ```html ``` {{#include ../../banners/hacktricks-training.md}}