本篇文章為大家展示了如何解析iFrame注入時(shí)的利用，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)公司為企業(yè)級(jí)客戶提高一站式互聯(lián)網(wǎng)+設(shè)計(jì)服務(wù)，主要包括成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、重慶App定制開(kāi)發(fā)、微信平臺(tái)小程序開(kāi)發(fā)、宣傳片制作、LOGO設(shè)計(jì)等，幫助客戶快速提升營(yíng)銷(xiāo)能力和企業(yè)形象，創(chuàng)新互聯(lián)各部門(mén)都有經(jīng)驗(yàn)豐富的經(jīng)驗(yàn)，可以確保每一個(gè)作品的質(zhì)量和創(chuàng)作周期，同時(shí)每年都有很多新員工加入，為我們帶來(lái)大量新的創(chuàng)意。 

iFrame注入是一種非常常見(jiàn)的跨站腳本攻擊。它包括已插入到網(wǎng)頁(yè)或文章內(nèi)容的一個(gè)或多個(gè)iframe代碼，或一般下載一個(gè)可執(zhí)行程序或進(jìn)行其他動(dòng)作使網(wǎng)站訪客的電腦妥協(xié)。在最好的情況下，谷歌可能會(huì)標(biāo)注該網(wǎng)站“惡意”。最糟糕的情況是，站點(diǎn)所有者和訪問(wèn)者最終使用了受惡意軟件感染的計(jì)算機(jī)。

iFrame注入發(fā)生在當(dāng)一個(gè)脆弱的網(wǎng)頁(yè)上的iFrame通過(guò)一個(gè)用戶可控輸入顯示另一個(gè)網(wǎng)頁(yè)。

GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%22%3E%3C/iframe%3E HTTP/1.1

不同瀏覽器使用不同payload：

 (IE)alert(0)"> (Firefox, Chrome, Safari)

多種利用方式如下：

 (IE)   (IE)alert(0)"> (Firefox, Chrome, Safari) (Firefox, Chrome, Safari)http://target.com/something.jsp?query=#alert(1)

接受用戶提供的數(shù)據(jù)作為iframe源URL可能會(huì)導(dǎo)致在Visualforce頁(yè)面中加載惡意內(nèi)容。

發(fā)生iFrame欺騙漏洞在以下情況：

1、數(shù)據(jù)通過(guò)不可信的源進(jìn)入web應(yīng)用程序。

2、數(shù)據(jù)作為iframe URL使用，而不進(jìn)行驗(yàn)證。

通過(guò)這種方式，如果攻擊者向受害者提供設(shè)置為惡意網(wǎng)站的iframesrc參數(shù)，則該框架將與惡意網(wǎng)站的內(nèi)容一起呈現(xiàn)。

上述內(nèi)容就是如何解析iFrame注入時(shí)的利用，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。