¿Son estos dos ataques de scripts de marcos cruzados?

3

Recibí una revisión de seguridad reciente de un sitio web que mencionó que tenía una vulnerabilidad de scripts entre marcos. En resumen, mencionó que un sitio malicioso podría cargar la página en un iframe, engañando al usuario para que piense que están en la página legítima de la aplicación, mientras superponen los controles y otros para recopilar datos y realizar otras actividades maliciosas. Pero también he escuchado que un XFS es cuando se usa un ataque XSS para inyectar un iframe en su aplicación que apunta a un sitio malicioso, lo que permite que el sitio malicioso cargado en el marco recopile datos de aquellos que usan su aplicación, así como de otros maliciosos. actividades.

Entonces, ¿son estos dos ataques de scripts de marcos cruzados porque ambos usan iframes como elemento clave? ¿O es solo el primer ataque un XFS mientras que el segundo se considera una versión de XSS que usa iframes?

P.S. XSS y CSRF tienen etiquetas, ¿existe alguna razón por la que XFS no las tenga?

    
pregunta Lawtonfogle 05.11.2013 - 17:44
fuente

2 respuestas

5

Aunque esta es una pregunta antigua, estoy agregando una respuesta para futuros espectadores.

"Cross-Frame Scripting" es básicamente fuga de datos que puede suceder cuando un atacante incrusta el sitio web de una víctima en un marco dentro de su propio sitio web y el monitor / espía de las actividades en el sitio web enmarcado. Un atacante puede registrar una escucha de JavaScript que escucha todos los eventos clave de la página. El espionaje es posible porque, el navegador (con errores) notifica al oyente los eventos clave incluso desde la página web de la víctima enmarcada. Por lo tanto, el atacante puede incrustar la página de inicio de sesión de la víctima en su sitio web (en un iframe ) y así obtener las credenciales de inicio de sesión de una víctima inocente.

Por otra parte,

"secuencias de comandos entre sitios" es más bien una ejecución forzada de JavaScript donde un atacante inyecta / refleja un JavaScript malicioso que luego se ejecuta en el navegador del cliente.

La prevención

XFS gira alrededor de la eliminación de cuadros o la adición de x-frame-options en los encabezados HTTP, igual a DENY (informando al navegador que nunca debe encuadrar el sitio web) o sameorigin (marco solo si está en el mismo contexto) . La prevención XSS , sin embargo, está más preocupada por el saneamiento de entrada.

Dicho esto, en el escenario que describiste, el primer caso es un ejemplo de un ataque XFS , mientras que el último se puede considerar como un ejemplo de un ataque XSS que involucra cuadros.

    
respondido por el Shubham Mittal 24.08.2015 - 12:22
fuente
4

No existe una vulnerabilidad hasta que alguien cree una Prueba de concepto o un método para explotar un defecto de software determinado.

"Cross-Frame Scripting" no existe y es un nombre horrible. Dicho esto, OWASP tiene una entrada desorganizada para Secuencias de comandos de marcos cruzados .

Los marcos tienen los derechos de scripting y las protecciones otorgadas por la Política del mismo origen . Un script que se ejecuta en un padre no puede leer el contenido de un iframe secundario que pertenece a otro dominio. Los iframes pueden ser útiles para explotar XSS, pero también lo son las etiquetas <form> y <input> .

Es probable que esta herramienta esté reportando clickjacking , que puede ser explotada con o sin JavaScript. Para evitar el clickjacking, simplemente agregue el elemento del encabezado HTTP: x-frame-options: sameorigin . Es muy fácil para una herramienta de seguridad mal escrita informar la falta de x-frame-options como una vulnerabilidad sin tener en cuenta si es realmente explotable.

(XSS y CSRF tienen etiquetas en security.se porque son reales. "XFS" es un error y nunca habrá esta etiqueta en security.se.)

    
respondido por el rook 05.11.2013 - 17:54
fuente

Lea otras preguntas en las etiquetas