XSS réfléchi avec seulement des balises personnalisées

Reflected XSS into HTML context with all tags blocked except custom ones

Lab: Reflected XSS into HTML context with all tags blocked except custom ones | Web Security AcademyWebSecAcademy

Cette application bloque toutes les balises HTML « classiques » ; seules les balises personnalisées (custom elements) sont autorisées. L'objectif du lab : injecter une balise personnalisée qui exécute automatiquement alert(document.cookie) (ici on veut voler la cookie de session via l'alerte).

Observations et démarche (réformulées)

Comme toutes les balises standards sont filtrées, la technique consiste à définir/insérer une balise personnalisée que le navigateur acceptera.
Une balise personnalisée peut contenir des gestionnaires d'événements — mais certains événements ne se déclenchent que si l'élément peut recevoir le focus.
Les éléments personnalisés ne sont focalisables par défaut ; il faut donc forcer la focalisation en ajoutant tabindex=1 pour que l'événement lié s'exécute lorsqu'on interagit (par ex. en cliquant ou en tabulant).

Balise simple — non focalisable (n'exécute pas l'alerte) :

<jordan onfocus=alert(0)>HELLO

Même balise, rendue focalisable avec tabindex — le onfocus fonctionne :

<jordan onfocus=alert(0) tabindex=1>HELLO

Preuve de concept final (exfiltration via redirection)

On construit une URL qui injecte la balise personnalisée avec un onfocus appelant alert(document.cookie) et on force le focus par tabindex=1.
Exemple de payload à envoyer à la victime (injection URL-encodée dans le paramètre search) :

<script>
location = 'https://0a07009c03dde34d825bba7b0028004d.web-security-academy.net/?search=%3Cjordan%20id=x%20onfocus=alert(document.cookie)%20tabindex=1%3E#x';
</script>

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?