RXSS
Reconnaissance
Le Javascript peut être activé par les developpeurs à l'aide de la commande suivante dans le code source:
L'ajout de cette configuration crée une interface entre le javascript de la page Web et le code java côté client de l'application. c'est-à-dire que le javascript de la page Web peut accéder et injecter du code javascript dans l'application comme si celui-ci en faisait partie.
si cette activité est exportée, cela peut être dangereux et permet à un attaquant de mener de nombreuses attaques dont des injections XSS.
Exploitation
Simple XSS
Créer un fichier .html contenant un payload de XSS basique
Héberger le fichier sur un serveur web attaquant
Utiliser la même commande que pour les vulnérabilités vues précédemment
Dernière mise à jour