Haciendo un PoC con un amigo, explotamos una de nuestras aplicaciones con un xss indirecto
con un timer. Yo me puse una cookie en el sitio vulnerable para que el me mandase un link a webmaliciosa. Me dijo, funciona todo correcto. Asique tranquilamente entre en el link para ser vulnerado y en vez de ejecutarse un alert de prueba, me aparece en la barra de direcciones, Data:,
Entonces pienso, si a el se le ejecutó el alert, debe ser cosa de mi navegador (samsung browser con motor chromium). Entonces decido probar el link en un navegador que estoy haciendo en java con motor webkit y no pasa absolutamente nada. Soy redirigido al sitio vulnerable tras el timer, pero no se refleja el script.
Pruebo en Chrome y tarán, el script se ejecuta.

Entonces yo me pregunto, por qué el que se supone como mejor navegador, no me protege de este ataque, y si lo hacen navegadores como el de samsung basado en chromium y el basado en webkit que hice yo? Ni siquiera le tengo el motor updateado, que se lo quiero cambiar.

Es la última versión de Chrome para Android.

Qué significa Data:, ?


No es una crítica a Chrome, me alegro que ejecute los XSS sin protección, a pelo UwU. En PC lo usé bastante, en Android le tienen mucha historia y no me renta usarlo por lo que tira de RAM, red y cpu. Lo tengo más que nada porque tienen siempre la última versión de ES6. Lo que pasa es que no entra en mi cabeza que sí sea vulnerable cuando los otros no. Y sobre todo cuando es común leer por ahí a cerca de como iniciar Chrome sin el antiXSS precisamente para probar vulnerabilidades. Es un bug? Se les olvidó meterlo en Android? Algo más oscuro? UwU.