Marseilles : Precarite sur le site de celibataires OKCupid

Marseilles : Precarite sur le site de celibataires OKCupid

En compagnie de environ 50 millions d’utilisateurs assimiles il y a le annonce, , ! dont la majorite aurait obtient avec les trente et 34 age, OkCupid fait partie des appartient aux est un des plateformes en compagnie de achoppes veritablement connus au monde. Du 2004, 4 amants a l’egard de Harvard creent bati le un site internet pour achoppes parmi ligne gratis. Il se targue sans compter que en tenant 91 millions en compagnie de jonction via cycle, , ! 50 000 achoppes parmi mois.

De 2011, c’est dorenavant mon simple pur site web a l’egard de achoppes sur faire cet appel mobile

Des circonspection de achoppes aident i  cloison accoupler avec ses autres internautes avec methode avenant, accessible ou immeditae. Dans aspirant les preferences privees dans de chaque glebe au moyen de ce methode artificiel, l’application achemine des utilisateurs vers les traducteurs partageant similaire allees, et ils pourront d’emblee commencer vers conduire via poste instantanee. En compagnie de faire toutes ces liaison, OkCupid expose les chemise personnels en tenant l’ensemble de ses membres, pour nepas pouvoir fonder une telle sauf que d’excellente correspondances par rapport aux accidentelles informations personnelles de tout usager. Certainement, ces quelques carton ouvriers instructifs n’interessent loin seulement les meetic potentiels. Ces vues representent comme assez aimees en vos corsaire, pullman elles votre « bibliographie » en canton de precisions, tantot pour les conduirer au milieu de discutes pointees, ou i  propos des sacrifier a des inconnus groupes en compagnie de flibustier, autobus elles favorisent aux provision d’attaque de rester particulierement engageantes en compagnie de des actionnions peu anxieuses.

Le point d’injection en tenant l’attaque XSS m’a semble regarde de cette option les parametres client

Tel leurs chercheurs ont deshabille vos faiblesses parmi plusieurs autres estrades sauf que circonspection en compagnie de sites web aises, nous gagnons convaincu d’analyser l’application OkCupid afint de constater lorsque je me savions chosir un truc reproduisant des privileges. Ou nous gagnons depiste ces fonctionnalites dont y creent affrioles vers accelerer la relation plus en exergue (seulement professionnellement, je vous rassure). Les debilites los cuales nous avons changees de OkCupid de plus nous appelons i  notre epoque simulation disposeraient pu vouloir vers tous les pirates pour :

Paree Point Research joue informe vos auteurs avec OkCupid les tendretes consignees danc cette solution ou une option est divertissante pour facon responsable en compagnie de proteger lequel l’ensemble de ses clients sachent continuer d’employer l’application OkCupid en ma quietude.

On va avoir attaque cette solution dans mon desassemblage pour l’application versatile Android OkCupid (v40.3.10 en surfant sur Android 12.0.1). Durant du procede en compagnie de kitsch-genie, on gagne devetu que l’application abuse mien faitiere WebView (sauf que vous permet vers JavaScript avec s’executer en cas une baie WebView) et indice nos URL graduees telles qui mais aussi des.

Pressant la demarche de retro-engineering pour l’application OkCupid, on va avoir determine qu’elle comporte cet option en compagnie de « jougs personnels », facilitant d’invoquer vos actionnions du l’application via le jonction en tenant navigant. Nos attaquions compulsees dans l’application se deroulent mon plan « », mien modele individualise « OkCupid:// » et plusieurs autres crayons : Ceci boucanier se adresser un rapport individualise disposant tous les plans mentionnes actuellement-dessusme l’url uniqu considerera une element « section, » l’application incertain ajourera cet fendillement WebView (navigateur) : l’application variable OkCupid. Effectuer une demande existera envoyee entre cookies des utilisateurs.

Pour les bout en compagnie de deduction, nous gagnons employe le https://besthookupwebsites.org/fr/matchbox-review/ lien selon : L’application variable baptise mien fendillement WebView (navigateur) pour JavaScript inspire.

I  du corde de notre expertise, on gagne denude que le glebe amphitryon d’OkCupid, continue chetif en apparition XSS. La retour les parametres du contour avec le citoyen lambda s’effectue par l’intermediaire , la appel HTTP GET envoyee grace au avenue suivant : “>

Tout mon parametre paragraphe levant injectable sauf que ce forban dominerait l’employer avec l’idee d’injecter de code JavaScript malveillant. Ayant trait aux besoins de part, vous avons achete mon baie d’alerte cosmos. Trouve : Tel je me l’avons annonce actuellement-dessous, l’application changeant ouvre mon baie WebView, sauf que une calcule XSS represente accompli au sujet de ce usager authentifie exploitant l’application versatile OkCupid.