Gunakan teknik URL Authority Confusion untuk memuat halaman ini di WebView ODA:
https://sinarpagiqponx.com@oda.com
WebView ODA memproses bagian oda.com sebagai host yang dipercaya, tapi browser memuat konten dari sinarpagiqponx.com. Ini menurunkan AC: High → AC: Low.
Cek apakah AndroidMessageHandler ter-expose ke halaman ini.
Panggil command via bridge. Target URL = halaman ini sendiri (tab ② akan tampil sebagai landing confirmation).
URL domain kamu berhasil dibuka di WebView ODA tanpa domain validation. Lanjutkan test di bawah.
| User Agent | |
| Referrer | |
| Loaded URL | |
| Timestamp | |
| Screen |
Jika AndroidMessageHandler tersedia di WebView yang dibuka via open-url,
attacker bisa lakukan bridge chaining — trigger command lagi dari landing page ini.
Demonstrasi bagaimana attacker bisa render fake login ODA di dalam UI app. User melihat app chrome ODA, bukan browser. Tidak ada data yang dikirim.
| Finding 1 | JS Bridge open-url / open-modal-url — no domain validation |
| Finding 2 | External URL load in-app WebView (bridge ter-expose) |
| Entry Point | URL Authority Confusion: attacker.com\@oda.com |
| CVSS (AC:H) | Medium 4.2 AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N |
| CVSS (AC:L, dengan entry point ini) | Medium–High 5.4 AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
| Bridge Chaining | — |
https://attacker.com\@oda.comattacker.comattacker.com panggil AndroidMessageHandler.postMessage()open-url membuka WebView baru tanpa domain validation