XSS DOM stocké

Stored DOM XSS

Lab: Stored DOM XSS | Web Security AcademyWebSecAcademy

Ce laboratoire démontre une vulnérabilité DOM stockée dans la fonctionnalité de commentaires du blog. Pour résoudre le lab, exploiter cette vulnérabilité afin d’exécuter la fonction alert().

si on insère dans la zone de commentaires le classique script :

<script>alert(0)</script>

on remarque que le site supprime une partie du commentaire.

Voici la fonction en question :

function loadComments(postCommentPath) {
    let xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            let comments = JSON.parse(this.responseText);
            displayComments(comments);
        }
    };
    xhr.open("GET", postCommentPath + window.location.search);
    xhr.send();

    function escapeHTML(html) {
        return html.replace('<', '&lt;').replace('>', '&gt;');
    }

    function displayComments(comments) {
        let userComments = document.getElementById("user-comments");

        for (let i = 0; i < comments.length; ++i)
        {
            comment = comments[i];
            let commentSection = document.createElement("section");
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");

            let avatarImgElement = document.createElement("img");
            avatarImgElement.setAttribute("class", "avatar");
            avatarImgElement.setAttribute("src", comment.avatar ? escapeHTML(comment.avatar) : "/resources/images/avatarDefault.svg");

            if (comment.author) {
                if (comment.website) {
                    let websiteElement = document.createElement("a");
                    websiteElement.setAttribute("id", "author");
                    websiteElement.setAttribute("href", comment.website);
                    firstPElement.appendChild(websiteElement)
                }

                let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)
                firstPElement.innerHTML = newInnerHtml
            }

            if (comment.date) {
                let dateObj = new Date(comment.date)
                let month = '' + (dateObj.getMonth() + 1);
                let day = '' + dateObj.getDate();
                let year = dateObj.getFullYear();

                if (month.length < 2)
                    month = '0' + month;
                if (day.length < 2)
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
                firstPElement.innerHTML = newInnerHtml
            }

            firstPElement.appendChild(avatarImgElement);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
                let commentBodyPElement = document.createElement("p");
                commentBodyPElement.innerHTML = escapeHTML(comment.body);

                commentSection.appendChild(commentBodyPElement);
            }
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);
        }
    }
};

La fonction escapeHTML(html) n’échappe que la première occurrence de < et > (utilisation de replace simple).
Comme le code utilise ensuite innerHTML pour insérer les valeurs, des balises malveillantes peuvent subsister et être interprétées par le navigateur.
Le filtrage n’est donc effectif que pour le premier match ; les occurrences suivantes restent vulnérables.

Utiliser un remplacement global (replaceAll ou une expression régulière globale) pour échapper toutes les occurrences de < et >.
Éviter d’utiliser innerHTML pour des données non fiables ; préférer textContent ou createTextNode

Payloads exploitables

Fermer puis injecter un script :

<><script>alert(0)</script>

Forcer une erreur d’image pour déclencher onerror:

<><img src=0 onerror=alert(0)>

Ces payloads fonctionnent parce que seuls quelques caractères sont transformés et que des occurrences supplémentaires de </> restent interprétables.

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?