Web9 : Types dexploitation XSS - Partie 3 : XSS basé sur Dom

Nous avons déjà évoqué deux types d' exploits XSS : réfléchis et stockés. Ils ont tous la particularité commune qu'un code dangereux, après avoir été inséré, sera exécuté après la réponse du serveur, ce qui signifie que l'erreur se situe du côté du serveur. Il existe un autre type d'exploitation XSS qui va à l'encontre de cette fonctionnalité, le code malveillant est exécuté immédiatement côté client sans passer par le serveur, connu sous le nom de DOM Based XSS ou également connu sous le nom de type 0 XSS.

Tout d’abord, nous devons savoir ce qu’est le DOM ?

DOM, abréviation de Document Object Model, est une forme standard du W3C (http://www.w3.org/DOM/) proposée pour récupérer et manipuler les données de documents structurés tels que HTML et XML. Ce modèle représente les documents sous la forme d'une structure arborescente hiérarchique. Tous les éléments HTML et XML sont considérés comme un nœud.

DOM Based XSS est une technique d'exploitation XSS basée sur la modification de la structure DOM du document, notamment HTML.

Regardons un exemple spécifique ci-dessous :

Un site Web a l'URL suivante vers la page d'inscription :

example.com/register.php?message=Please fill in the form

Lorsque nous y accédons, nous voyons un formulaire très normal :

Vous pouvez facilement déduire le paramètre message passé dans le contenu de la notification sur le formulaire, regardez attentivement le code source de cette notification :

Le segment JavaScript est chargé d'obtenir la valeur du paramètre de message et de l'imprimer. À partir de cette vérification laxiste des entrées, il est tout à fait possible d’inciter les utilisateurs à accéder à des URL dangereuses.

Au lieu de lancer :

message=Please fill in the form

puis transmets :

message=GenderMaleFemale

function show(){alert();}

Le formulaire d’inscription ressemblera alors à ceci :

Les utilisateurs ne se méfieront pas d'une forme "normale" comme celle-ci, et lors de la sélection du sexe, le Script sera exécuté :

Je vais vous expliquer un peu plus la valeur passée dans le paramètre message :

GenderMaleFemale

function show(){alert();}

Son objectif principal est d'exécuter la fonction show() à chaque fois qu'il y a un événement onchage sur la balise select. La fonction show() ici apparaît simplement pour montrer que le script a été exécuté. Cependant, en réalité, les pirates utilisent souvent cette fonction show() pour exécuter un script qui transmet la valeur du cookie de l'utilisateur à un serveur prédéterminé. Les lecteurs peuvent consulter l'article Reflected XSS qui mentionne comment les pirates créent À quoi ressemble cette requête ?

Cet exemple nous donne deux conclusions importantes. Premièrement, le code malveillant a été exécuté immédiatement après avoir cliqué sur la valeur dans la balise select, ce qui signifie qu'il a été exécuté directement côté client sans passer par la réponse du serveur. Deuxièmement, la structure HTML a été modifiée avec le script transmis. Et nous pouvons également voir le scénario d'exploitation réel, DOM Based est un peu plus similaire à Reflected qu'à Stored XSS lorsqu'il s'agit d'inciter les utilisateurs à accéder à une URL contenant du code malveillant.

La figure suivante décrit chaque étape de la mise en œuvre de la technique d'attaque XSS basée sur DOM :

Vous trouverez ci-dessous une vidéo d'un membre du forum WhiteHat.vn exécutant un exploit via DOM Based XSS :

Bonne chance!