?前言
一直认为通过postMessage进行的DOM XSS是一个被低估的漏洞,并且大多数白帽子都没有注意到它的安全价值。
最近一段时间,开始研究客户端漏洞,比如寻找XSS,JSONP和postMessage问题。
但是XSS和JSONP漏洞已经很难发现了,浏览器相继引入SameSite Cookie以来,这些漏洞也将要消失了。
因此,我的关注点更热衷研究postMessage漏洞,因为大家往往很容易忽略它,但是它非常容易发现,无需要太多的技巧。
为简化起见,创建了一个Chrome扩展程序来查看/记录网页上发生的跨域通信。
在https://developers.facebook.com网站,开始研究Facebook的第三方插件。
该Facebook Login SDK for JavaScript创建了一个PHP文件/v6.0/plugins/login_button.php用于跨域通信的iframe代理框架。
iframe代理框架页呈现Continue with Facebook按钮,但有趣的是javascript SDK将初始化数据发送到包含按钮点击URL的iframe代理框架页。登录SDK的流程如下。
Third-Party website + (Facebook Login SDK for JavaScript)
开通VIP 解锁文章