# Bypassing SOP with Iframes - 2 {{#include ../../banners/hacktricks-training.md}} ## Iframes in SOP-2 W [**rozwiązaniu**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) dla tego [**wyzwania**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc)**,** [**@Strellic\_**](https://twitter.com/Strellic_) proponuje podobną metodę do poprzedniej sekcji. Sprawdźmy to. W tym wyzwaniu atakujący musi **obejść** to: ```javascript if (e.source == window.calc.contentWindow && e.data.token == window.token) { ``` Jeśli to zrobi, może wysłać **postmessage** z treścią HTML, która zostanie zapisana na stronie za pomocą **`innerHTML`** bez sanitacji (**XSS**). Sposobem na obejście **pierwszej kontroli** jest ustawienie **`window.calc.contentWindow`** na **`undefined`** i **`e.source`** na **`null`**: - **`window.calc.contentWindow`** to tak naprawdę **`document.getElementById("calc")`**. Możesz zniszczyć **`document.getElementById`** za pomocą **``** (zauważ, że API Sanitizer -[tutaj](https://wicg.github.io/sanitizer-api/index.html#dom-clobbering)- nie jest skonfigurowane, aby chronić przed atakami DOM clobbering w swoim domyślnym stanie). - Dlatego możesz zniszczyć **`document.getElementById("calc")`** za pomocą **`

`**. Wtedy **`window.calc`** będzie **`undefined`**. - Teraz potrzebujemy, aby **`e.source`** było **`undefined`** lub **`null`** (ponieważ używane jest `==` zamiast `===`, **`null == undefined`** jest **`True`**). Osiągnięcie tego jest "łatwe". Jeśli stworzysz **iframe** i **wyślesz** **postMessage** z niego, a następnie natychmiast **usunięsz** iframe, **`e.origin`** będzie **`null`**. Sprawdź poniższy kod ```javascript let iframe = document.createElement("iframe") document.body.appendChild(iframe) window.target = window.open("http://localhost:8080/") await new Promise((r) => setTimeout(r, 2000)) // wait for page to load iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`) document.body.removeChild(iframe) //e.origin === null ``` Aby obejść **drugą kontrolę** dotyczącą tokena, należy wysłać **`token`** z wartością `null` i ustawić wartość **`window.token`** na **`undefined`**: - Wysłanie `token` w postMessage z wartością `null` jest trywialne. - **`window.token`** w wywołaniu funkcji **`getCookie`**, która używa **`document.cookie`**. Należy zauważyć, że jakiekolwiek odwołanie do **`document.cookie`** na stronach o **`null`** pochodzeniu wywołuje **błąd**. Spowoduje to, że **`window.token`** będzie miało wartość **`undefined`**. Ostateczne rozwiązanie od [**@terjanq**](https://twitter.com/terjanq) to [**następujące**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html): ```html ``` {{#include ../../banners/hacktricks-training.md}}