#Telegram #Webapp #XSS #Session_Hijacking
اخیرا یک آسیب پذیری از برنامه تحت وب تلگرام (WebK 2.0.0) منتشر شده که از نوع XSS هست و در فایل appDialogsManager-aLs9GOvc.js قرار داشته.

ماجرا از این قرار است که ورودی دریافت کننده url لینکی که توسط یک ربات تولید شده، کنترل امنیتی صحیحی صورت نگرفته است و لذا یک مهاجم میتواند با ایجاد یک Bot + Mini App یک مقدار URL رو تنظیم نماید برای Mini App و زمانی که ربات لینک را ارسال میکند، لینک اشاره دارد به یک وبسایت بیرون از Scope برنامه تحت وب تلگرام.

در صورت باز کردن لینک صفحه مربوط به مهاجم بار گذاری شده و کد جاوا اسکریپتی اقدام به دزدیدن کوکی کاربر کرده و از این کوکی و نشستی که در آن است سو استفاده کرده و اقدامات بعدی را در جهت بهره برداری Account Takeover را انجام دهد.

<body onload=exploit()>
<script>
function exploit() {
window.parent.postMessage(JSON.stringify({eventType: 'web_app_open_link',
eventData: {url:
"javascript:alert(JSON.stringify(window.parent.localStorage))"}}), '*'); }
</script>
</body>


Demo
@Unk9vvN