Hello Team,
I have found a bug in your website https://server.de/
The details of it are as follows:-
Summary:
X-Frame-Options ALLOW-FROM https://server.de/ not supported by several Browser,
Steps To Reproduce:
Create a new HTML file
Put <iframe src="https://server.de/ frameborder="0"></iframe>
Save the file
Open document in browser
Impact:
Attacker may tricked user, sending them malicious link then user open it clicked some image and their account unconsciously has been deactivated
Solution:
The vulnerability can be fixed by adding "frame-ancestors 'self';" to the CSP (Content-Security-Policy) header.
PoC:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="description" content="X-Frame-Bypass: Web Component extending IFrame to bypass X-Frame-Options: deny/sameorigin">
<title>X-Frame-Bypass Web Component Demo</title>
<style>
html, body {
margin: 0;
padding: 0;
height: 100%;
overflow: hidden;
}
iframe {
display: block;
width: calc(70% - 40px);
height: calc(80% - 40px);
margin: 20px;
}
img {
position: absolute;
top: 0;
right: 0;
}
</style>
<script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
<script src="x-frame-bypass.js" type="module"></script>
</head>
<body>
<h1>x-frame-bypass in your site</h1>
<iframe is="x-frame-bypass" src="https://server.de/"></iframe>
</body>
</html>
FIX:
Content-Security-Policy: frame-ancestors 'self' is better, because it checks all frame ancestors. You should implement a CSP header to avoid these sorts of attacks. Please let me know if you want more information. I hope that you appreciate my ethical disclosure of this vulnerability, expecting a reward as a token of appreciation for this..
Thank you!
Der "X-Frame-Options" Header steht bei KeyHelp schon immer auf DENY.
Es muss sich um eine andere Anwendung handeln, oder es wurde anderweitig am Webserver eingegriffen.
Auf das KeyHelp Control-Panel trifft das beschriebene zumindest nicht zu.
Und bevor die Frage kommt, welche Header eine Anwendung setzt entscheidet die Anwendung, nicht das Control-Panel.
Wenn dieser Header z.B. durch eine Wordpress Instanz gesetzt wird, sollte man es dort unterbinden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Und auch dort kannst du sehen, das es auf "DENY" steht und nicht auf "ALLOW-FROM". Da hat er dir vll eine falsche URL geschickt, bzw. bezieht sich auf eine Domain auf deinem Server.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Er hat ausdrücklich das KeyHelp-Panel gemeint. Denn das läuft ja auf der Subdomain hyperbrain. Ein anderes Projekt aber läuft nicht auf dieser Subdomain. Die Frage ist halt generell, ob man diesen Mails Bedeutung beimessen sollte.