Account theft
Apresentação
Nesse exemplo vamos dar fingir ser um outro usuário modificando o arquivo que a aplicação utiliza para verificar a conta
Vuln time
Para localizarmos o local do userdetails.plist
Primeiro vamos fazer download do arquivo utilizando
Agora vamos visualizar o arquivo original e depois de modificado
O AUTH_TOKEN é uma hash em md5 do nome do usuário, como por exemplo md5("attacker")
Agora vamos fazer o upload desse arquivo utilizando objection com o comando
Conclusão
Esse foi apenas um exemplo de vulnerabilidade no client side, com isso conseguirmos fingir ser alguem que não somos para a aplicação.
Last updated