Re: CSP XML Data with tokens from gaz Heyes on 2011-01-29 (public-web-security@w3.org from January 2011)

From: gaz Heyes <gazheyes@gmail.com>
Date: Sat, 29 Jan 2011 09:18:55 +0000
To: "sird@rckc.at" <sird@rckc.at>
Cc: Adam Barth <w3c@adambarth.com>, Devdatta Akhawe <dev.akhawe@gmail.com>, Michal Zalewski <lcamtuf@coredump.cx>, Brandon Sterne <bsterne@mozilla.com>, public-web-security@w3.org
Message-ID: <AANLkTimqeUpURLVpEkq_FW7bFFKo4+Tc1f72sGTLP4ZJ@mail.gmail.com>

Haha this is hilarious if seamless iframes are allowed in seamless iframes
we have a HTML inception vector :D

<iframe sandbox=allow-same-origin seamless=seamless
srcdoc="&#60;&#105;&#102;&#114;&#97;&#109;&#101;&#32;&#115;&#97;&#110;&#100;&#98;&#111;&#120;&#61;&#97;&#108;&#108;&#111;&#119;&#45;&#115;&#97;&#109;&#101;&#45;&#111;&#114;&#105;&#103;&#105;&#110;&#32;&#115;&#101;&#97;&#109;&#108;&#101;&#115;&#115;&#61;&#115;&#101;&#97;&#109;&#108;&#101;&#115;&#115;&#32;&#115;&#114;&#99;&#100;&#111;&#99;&#61;&#39;&#38;&#35;&#54;&#48;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#48;&#50;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#51;&#50;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#49;&#48;&#59;&#38;&#35;&#49;&#48;&#48;&#59;&#38;&#35;&#57;&#56;&#59;&#38;&#35;&#49;&#49;&#49;&#59;&#38;&#35;&#49;&#50;&#48;&#59;&#38;&#35;&#54;&#49;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#56;&#59;&#38;&#35;&#49;&#48;&#56;&#59;&#38;&#35;&#49;&#49;&#49;&#59;&#38;&#35;&#49;&#49;&#57;&#59;&#38;&#35;&#52;&#53;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#52;&#53;&#59;&#38;&#35;&#49;&#49;&#49;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#48;&#51;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#49;&#48;&#59;&#38;&#35;&#51;&#50;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#56;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#54;&#49;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#56;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#51;&#50;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#57;&#57;&#59;&#38;&#35;&#49;&#48;&#48;&#59;&#38;&#35;&#49;&#49;&#49;&#59;&#38;&#35;&#57;&#57;&#59;&#38;&#35;&#54;&#49;&#59;&#38;&#35;&#56;&#52;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#57;&#53;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#57;&#53;&#59;&#38;&#35;&#49;&#49;&#53;&#59;&#38;&#35;&#49;&#48;&#56;&#59;&#38;&#35;&#49;&#49;&#49;&#59;&#38;&#35;&#49;&#49;&#57;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#57;&#53;&#59;&#38;&#35;&#49;&#48;&#52;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#54;&#50;&#59;&#38;&#35;&#54;&#48;&#59;&#38;&#35;&#52;&#55;&#59;&#38;&#35;&#49;&#48;&#53;&#59;&#38;&#35;&#49;&#48;&#50;&#59;&#38;&#35;&#49;&#49;&#52;&#59;&#38;&#35;&#57;&#55;&#59;&#38;&#35;&#49;&#48;&#57;&#59;&#38;&#35;&#49;&#48;&#49;&#59;&#38;&#35;&#54;&#50;&#59;&#39;&#62;&#60;&#47;&#105;&#102;&#114;&#97;&#109;&#101;&#62;"></iframe>

What would be interesting is what happens when there's src and srcdoc,
because if we find an injection in src attribute we can inject this.

On 28 January 2011 17:55, sird@rckc.at <sird@rckc.at> wrote:

> Hey!
>
> So, yes that's correct :P but you obviously html entify stuff inside
> the attribute.
>
> <iframe sandbox seamless srcdoc="<?php echo
>
> strtr($user_input,Array("&"=>"&amp;","\""=>"&quot;","<"=>"&lt;",">"=>"&gt;"));
> ?>">
>
>
> -- Eduardo
>
>
>
>
> On Fri, Jan 28, 2011 at 11:16 AM, gaz Heyes <gazheyes@gmail.com> wrote:
> > On 28 January 2011 16:56, sird@rckc.at <sird@rckc.at> wrote:
> >>
> >> Hi!
> >>
> >> The attribute "seamless" will do:
> >>
> >> 1. If you have b{color:blue} in the doc
> >> 2. You have:
> >> <iframe sandbox="allow-same-origin" seamless="seamless"
> >> srcdoc="<b>xD</b>"></iframe>
> >> 3. You get, a blue bold "xD".
> >
> > So it puts HTML content inside an attribute! How would it handle
> entities? I
> > mean if an attribute is rendering as HTML then does &#39; become '? Who
> > thought putting HTML in attributes was a good idea? Does that mean stuff
> > like <a href=javascript&amp;#58;alert(1)>test</a> I like the idea of
> > externally included sandboxed HTML but not inline.
> >
>

Received on Saturday, 29 January 2011 09:19:29 UTC