Analisando alguns mecanismos de defesa em navegadores mobile

Tempest Security
Jul 22 · 10 min read
Image for post
Image for post
Photo by Rami Al-zayat on Unsplash
Image for post
Image for post
Tabela 1 — Browsers móveis presentes no escopo e suas respectivas versões
Image for post
Image for post
Figura 1 — Gráfico com os navegadores mais utilizados mundialmente (Fonte gs.statcounter.com)
Image for post
Image for post
Figura 2 — Exemplo da tentativa de burlar o SOP
Image for post
Image for post
Figura 2.2 — Exemplo da requisição cross-domain
Image for post
Image for post
Figura 2.3 — Preflight request gerada
Image for post
Image for post
Figura 2.4 — Configuração do servidor
Image for post
Image for post
Figura 2.5 — Alerta no browser Opera com campo Access-Control-Allow-Origin: *
Image for post
Image for post
Figura 2.6 — Alerta no browser Opera com campo Access-Control-Allow-Origin: https://c3415fa3.ngrok.io (mesma origem do requisitante)
Image for post
Image for post
Figura 3 — Código HTML
Image for post
Image for post
Figura 3.2 — Código do arquivo xss.js
Image for post
Image for post
Figura 3.3 — XSS executado no Chrome
Image for post
Image for post
Figura 4 — Página A com o link para a página B
Image for post
Image for post
Figura 4.2 — Página B contendo o método history.pushState().
Image for post
Image for post
Figura 4.3 — Conteúdo da página C
Image for post
Image for post
Vídeo 1 — Demonstração do exemplo com com domínios distintos no Microsoft Edge
Image for post
Image for post
Vídeo 1.2 — Demonstração do exemplo com o mesmo domínio no Microsoft Edge
Image for post
Image for post
Vídeo 2 — Exemplo do funcionamento do Scroll Jail no Chrome
Image for post
Image for post
Tabela 2 — Resultado dos testes realizados na pesquisa. O X corresponde aos testes não positivos, e o aos testes positivos.

SideChannel-BR

Notícias e análises sobre segurança da informação…

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch

Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore

Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store