L'API Xiaohongshu sniffée en 90 secondes : comment CORS a facilité l'exploit
Un chercheur en sécurité a contourné la protection CORS (Cross-Origin Resource Sharing) de Xiaohongshu pour accéder directement à l'API de collections utilisateurs en 90 secondes.
Publié 10sem·1 média·Notable·maj 9sem
≈ 20s
Le fait
Ce défaut révèle les faiblesses courantes de la sécurisation des APIs mobiles chinoises.
Impact observé
Accès non autorisé aux données privées des utilisateurs
Les générateurs IA, dont Cursor, produisent systématiquement des APIs sans middleware d'authentification correcte, créant une faille IDOR (Insecure Direct Object Reference).
Une application européenne de vérification d'âge, lancée pour sécuriser l'accès aux contenus sensibles en ligne, a été compromise en seulement deux minutes.