YouTubeTwitterLinkedIn

Lab 3: CORS vulnerability with trusted insecure protocols

https://portswigger.net/web-security/cors/lab-breaking-https-attack

Primero iniciamos sesion y capturamos la siguiente peticion:

GET /accountDetails HTTP/2
Host: 0a5000120438c0d181938e1900bb00e7.web-security-academy.net
Cookie: session=BMGMCpBoyKZqvljTK4JLclKbfPUzUi3f
Sec-Ch-Ua: "Chromium";v="128", "Not;A=Brand";v="24", "Google Chrome";v="128"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36
Sec-Ch-Ua-Platform: "Windows"
Accept: */*
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://0a5000120438c0d181938e1900bb00e7.web-security-academy.net/my-account?id=wiener
Accept-Encoding: gzip, deflate, br
Accept-Language: es-ES,es;q=0.9
Priority: u=1, i

La peticion previa responde asi:

HTTP/2 200 OK
Access-Control-Allow-Credentials: true
Content-Type: application/json; charset=utf-8
X-Frame-Options: SAMEORIGIN
Content-Length: 149

{
  "username": "wiener",
  "email": "",
  "apikey": "zZYurR0j8yVuO0G4rUgOEQ3BDPCa1k63",
  "sessions": [
    "BMGMCpBoyKZqvljTK4JLclKbfPUzUi3f"
  ]
}

Y tambien se identifica la siguiente peticion al clickear en check stock:

La peticion es:

Y la respuesta es:

Se puede apreciar Access-Control-Allow-Credentials: true y por lo anterior, enviamos la siguiente peticion:

Pero no funciona:

Por lo anterior, autorizamos el subdominio:

Y con el subdominio si funciono:

Y adicionalmente, se detecta que el aplicativo web stock es susceptible a ataques de XSS:

Teniendo en cuenta lo anterior, se desarrolla el siguiente exploit:

En este escenario, el servidor web de web-security-academy.net está configurado para confiar en todos los subdominios sin importar el protocolo. Esto significa que cualquier subdominio bajo web-security-academy.net, como stock.0a5000120438c0d181938e1900bb00e7.web-security-academy.net, es automáticamente autorizado a realizar peticiones cross-origin a 0a5000120438c0d181938e1900bb00e7.web-security-academy.net

Y luego de lo anterior, se envia la URL del exploit server a la victima:

Se recibe el siguiente Log:

Al decodificar en formato URL se obtiene lo siguiente:

AnteriorLab #2 - CORS vulnerability with trusted null originSiguienteLab #1: Exploiting an API endpoint using documentation

Última actualización

¿Te fue útil?