Kerentanan injeksi Frame, meskipun beberapa orang mungkin menganggap mereka sama dengan injeksi HTML / XSS atau bahkan subset, mereka benar-benar tidak sama.
Berikut ini alasannya:
* Tidak perlu untuk menyuntikkan karakter kontrol khusus seperti kurung sudut (tidak seperti HTMLi / XSS)
* HTMLi / XSS rutinitas tidak akan proyek penyaringan terhadap injeksi bingkai sejak penyerang hanya perlu memasukkan URL pada parameter non-disanitasi
Cara terbaik untuk menjelaskan apa yang saya maksudkan adalah untuk menunjukkan contoh. Kebanyakan bingkai isu injeksi terjadi dalam aplikasi web karena frameset dinamis / iframe penyisipan tidak diimplementasikan dengan cukup penyaringan. Misalnya, mengatakan bahwa kita memiliki URL berikut pada situs target:
https: / / www.victim.foo/index.php?targeturl=/contact.php
Seorang pengguna dengan niat jahat meluncurkan serangan phishing akan mencoba merusak parameter targeturl. Tujuannya adalah untuk memasukkan halaman pihak ketiga yang berada di bawah kekuasaannya, bukan halaman kontak asli. Memang, index.php, meskipun tidak mengizinkan HTML atau JavaScript yang akan ditugaskan targeturl, lebih ditujukan untuk memproses sebuah URL absolut daripada yang relatif:
https: / / www.victim.foo/index.php?targeturl=http://evil.foo/login.php
Saya pikir menunjukkan contoh langsung akan membantu pembaca mendapatkan ide dari apa yang terlihat di frame injeksi tindakan. Untuk itu, saya menyiapkan bukti tidak lebih elegan konsep yang memanfaatkan layanan Foto Google. Apa yang menarik adalah bahwa meskipun URL yang sah biasanya akan menggunakan domain images.google.com, Google juga memungkinkan kita untuk menggunakan subdomain google.com mail.google.com lain seperti yang digunakan oleh Gmail. Hal ini sangat ideal, karena kita ingin mencapai serangan injeksi frame yang dapat digunakan untuk melakukan serangan phishing terhadap pengguna Gmail.
http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgrefurl=http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgrefurl =% 68% 74% 74% 70% 3a % 2f% 2f% 73% 6e% 69% 70% 75% 72% 6c% 2e% 63% 6f% 6d% 2f% 67% 6e% 77% 62% 6f
Bingkai Fun Injeksi POC
The URL PoC sebelumnya akan menyebabkan kredensial masuk untuk disampaikan kepada www.gnucitizen.org saat mengklik Sign in, jadi harap jangan mengirimkan surat-surat apapun yang nyata!
Singkatnya: penyerang telah berhasil menampilkan halaman ketiga-pihak non-sah, sedangkan domain yang sah (mail.google.com dalam kasus ini) akan muncul dalam keindahan bar.The alamat serangan injeksi frame bahwa penyerang bisa menyamar sebagai sebuah entitas yang terpercaya tanpa perlu memotong XSS / filter HTMLi atau bahkan masuk ke server target.
Tak perlu dikatakan, dalam kehidupan nyata penyerang kemungkinan besar akan mengotomatisasi proses mendapatkan kepercayaan panen dengan menggunakan alat seperti pencurian data-script x.php.
Copyright 2010 @ Klaten WEB.com