Aşırı Güvenlik Duygusu ve Güvenlik

Bir mobil iOS uygulamasının pentestini yapıyoruz. Uygulamanın mesaj gönderme özelliği de var. iPhone olduğu için geliştiriciler hiç jailbreak olmuş bir telefonu hesaba katmamışlar.

Test telefonumuz jailbroken olduğu için Downloads dizinine bir test.html dosyası koyduk. Tabi içinde XSS ile sonuçlanacak ufak bir javascript kodu da gömdük. Dosyayı karşı tarafa gönderdiğimizde XSS’in başarıyla çalıştığını gördük. Bu heyecanla başka birçok dosya türü de denedik ancak daha ileri götürecek başka bir saldırı vektörü bulamadık.