DOM XSS in jQuery anchor href attribute sink using location.search source – PortSwigger Write Up

En este post vamos a estar resolviendo el laboratorio: “DOM XSS in jQuery anchor href attribute sink using location.search source”:

En este caso, para resolver el laboratorio tenemos que ejecutar un alert que nos devuelva las cookies.

Lo primero de todo es acceder al laboratorio:

Una vez accedidos, nos dirigimos a la parte de enviar feedback, ya que, en el enunciado es donde se nos indica que se encuentra el XSS:

Cuando accedemos, si nos fijamos en la URL, podemos ver que de forma por defecto se nos añade el parámetro returnPath:

Vamos a probar a añadirle cualquier valor al parámetro:

En principio no pasa nada, pero si ponemos el ratón encima del hiperenlace de “Back”:

Vemos como el valor que hemos colocado en la variable, se implemente en el atributo href de este elemento. Por lo que es tan sencillo como colocar un payload que nos ejecute el alert cuando demos click en el botón:

• javascript:alert(document.cookie)

Como vemos, conseguimos resolver el laboratorio, y desde el punto de vista del código fuente, lo que hemos conseguido es lo siguiente:

Ahora, si damos click en el hiperenlace “Back”:

Se nos ejecutará el código Javascript que hemos indicado:

En este caso no nos sale nada porque la única cookie que tenemos, tiene la flag HTTPOnly habilitada:

Esta flag habilita que las cookies solo puedan ser leídas desde el protocolo HTTP y no desde Javascript, es un mecanismo de defensa. Y con esto explicado, ya tendríamos el laboratorio hecho: