Vol de token
Reconnaissance
Code vulnรฉrable
Dรฉclaration de l'interface
Cette vulnรฉrabilitรฉ est en fait liรฉ ร celle vue prรฉcรจdemment. En effet, on peut voir que le javascript a prรฉalablement รฉtรฉ activรฉ via la commande webView.getSettings().setJavaScriptEnabled(true);
(ligne 5), qu'un header "Authorization" est gรฉnรฉrรฉ avec le token de l'utilisateur (ligne 7) puis qu'une interface nommรฉe "Android" a รฉtรฉ ajoutรฉ (ligne 8).
Enfin, on constate que la clรฉ "support_url" est utilisรฉe pour accรฉder ร la page de support, page de support ayant dans ses en-tรชtes le token ร voler.
Exploitation
Tout comme pour la RXSS vue prรฉcรจdemment, il nous est possible d'injecter du code javascript dans la fonction. Il nous est donc possible de crรฉer un simple script pour rรฉcupรฉrer le token en appelant la fonction "getUserToken()" qui est utilisรฉe dans la dรฉclaration de l'interface du code vunรฉrable.
Charge utile
Etapes
Crรฉation de la charge utile .html
Hรฉgergement sur le serveur web attaquant
Commande drozer
Derniรจre mise ร jour