Invalid Digital assets links

Description

Le protocole Digital Asset Links et l’API permettent à une application ou à un site Web de publier des déclarations vérifiables sur d’autres applications ou sites Web. Par exemple, un site Web peut déclarer qu’il est associé à une application Android spécifique, ou il peut déclarer qu’il souhaite partager les informations d’identification de l’utilisateur avec un autre site Web.

Si un deeplink pointe vers https://target.xyz par exemple, alors ce dernier doit avoir un endpoint /.well-known/assetlinks.json

Essayer aussi: https://digitalassetlinks.googleapis.com/v1/statements:list?source.web.site=target.com

Ce lien ne doit pas être joignable via le protocol HTTP non sécurisé.

Il doit êgalement contenir le package de l'application, si cela n'est pas le cas, des applications illégitimes pourraient tenter de s'associer au site.

Dans le cas où les deeplinks utilisent plusieurs sous-domaines, chacun de ces sous-domaine doit posséder un endpoint /.well-known/assetlinks.json

Inversement, si un wildcard est utilisé, l'endpoint doit être à la racine du domaine wildcard (https://*.target.xyz => https://target.xyz/.well_known/assetlinks.json).

PrécédentWebView hijacking (via deeplink)SuivantWebView vulns

Dernière mise à jour il y a 8 mois