XFS框架脚本漏洞介绍

拼搏现实的明天。 2024-04-19 14:29 36阅读 0赞

**※ 介绍 ※**

XFS即Cross-FrameScripting跨框架脚本，也叫iFrame注入，了解XFS问题前先来看下面这个小例子，有如下一段html代码。

<!DOCTYPE html>
    <html>
    <head>
    <meta charset="utf-8">
    <title></title>
    <script>
    function check(){
        if (window.top!=window.self) {
            alert(“这个窗口不是最顶层窗口!我在一个框架中");
        }
        else{
            alert ("这个窗口是最顶层窗口! ");
        }
    }
    </script>
    </head>
    <form>
      <h1>Test</h1>
      <br/><hr/><br/>
      username：<input type="text" name="username"><br/><br/>
      password：<input type="password" name="password"><br/><br/>
      <input type="submit" name="submit">      
      <input type="button" onclick="check()" value="检查窗口">
    </form>
    </html>

例如一个网站的登录功能，这里为了举例，我们添加了一个检查窗口的按钮，点击后会执行check函数，check用来检测当前页面运行窗口是否为顶部窗口。

在一个html页面中，可能存在多个frame框架，top指顶层框架，即第一层，self指的是当前的窗口。

这时运行此页面，因为页面并没有嵌入到frame框架中，所以是最顶层的窗口，运行结果如下。

![format_png][]

我们再来看下嵌入到框架中的样子，例如下面的html代码，加入了frame框架，将上面的1.html进行了引入。

<!DOCTYPE html>
    <html>
    <head>
    <meta charset="utf-8">
    <title></title>
    </head>
    <frameset onload="this.focus();" onblur="this.focus();" cols="100%">
      <frame src="http://localhost/1.html" scrolling="auto">
    </frameset>
    </html>

此时运行这个2.html，页面内容和1.html一样，执行检查窗口运行结果如下。

![format_png 1][]

**※ 攻击方式 ※**

了解上面现象后，攻击方式很简单，也就是我们将攻击目标的URL引入框架中，发送给目标用户，诱骗其点击即可，对于我们自己的攻击地址可以使用类似域名、短链接等等方式增加迷惑性。

造成的危害主要是钓鱼，数据和身份的窃取，例如以下代码，我们在2.html中加入了一段JS，JS每隔一秒会将用户的按键信息发送给自己。

**※ 修复方式 ※**

修复方式我们可以直接从JS上来弥补，例如直接判断当前窗口是否为顶层窗口，如果存在框架中可直接进行替换，示例代码如下。

if(top != self){
        top.location = self.location;
    }

在1.html中加入此段代码后，访问2.html会直接跳转到1.html

除此外还有一个修复方式就是给相应头添加X-Frame-Options字段，它用来告诉浏览器页面中是否可以存在<frame>、<iframe>、<embed>、<object>标记，X-Frame-Options有三个值可选，1，DENY：无论如何不允许显示。2，SAMEORIGIN：仅允许同源域名下显示。3，ALLOW-FROM URI：仅在指定的域名下显示，示例如下。

X-Frame-Options: deny
    X-Frame-Options: sameorigin
    X-Frame-Options: allow-from https://example.com/

这里以Apache为例，修改配置文件开启LoadModule headers\_modulemodules/mod\_headers.so模块，然后添加Header always append X-Frame-Options DENY，重启后访问2.html可以看到没有任何内容，运行如下。

![format_png 2][]

以上就是关于XFS框架脚本漏洞的介绍。

--------------------

**                                                                    公众号推荐：aFa攻防实验室**

**分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。**

![20191220230427373.jpg][]

[format_png]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy83dldtVlVPdWljdTBJVWJSYmQ4WEtQSVFmTFBweTlSZkhKeFd3VkhGaWJsZ2ljdWlhVE9pYUh4UWpvZjJpYVJlSEl5RnlOT2RtUUY1ZVpYMWljc09yTnVKaG01OVEvNjQwP3d4X2ZtdD1wbmcmdHA9d2VicCZ3eGZyb209NSZ3eF9sYXp5PTEmd3hfY289MQ?x-oss-process=image/format,png
[format_png 1]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy83dldtVlVPdWljdTBJVWJSYmQ4WEtQSVFmTFBweTlSZkhieWpnbmxpYXJlMXhVNkUyRDB3QThpY2I1cW5Mb3pOU1hSS0ZTNFpHYjdLdGtQTWlicFhUelROeFEvNjQwP3d4X2ZtdD1wbmcmdHA9d2VicCZ3eGZyb209NSZ3eF9sYXp5PTEmd3hfY289MQ?x-oss-process=image/format,png
[format_png 2]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy83dldtVlVPdWljdTBJVWJSYmQ4WEtQSVFmTFBweTlSZkhYNTRaT2hWVDliNmpjMkFwQmlhclU5QUFuaWFQQUZrZVVqZGUxUXM3RmljZXYzOGljemlhSVhXRVI0Zy82NDA_d3hfZm10PXBuZyZ0cD13ZWJwJnd4ZnJvbT01Jnd4X2xhenk9MSZ3eF9jbz0x?x-oss-process=image/format,png
[20191220230427373.jpg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/75d13dede9d04f3b9648271d36bde998.jpg