在Web应用安全领域,有时最有趣的故事并非关于那些立即被修复的严重漏洞,而是那些评估过程一波三折的报告。最近的一个案例表明,最初的风险评估可能随着时间改变,从而为安全研究员带来意想不到的结果。
发现过程
该漏洞涉及用户注册流程中的超链接注入问题,具体出现在“名字”字段。这个问题很直接但潜在影响不小:应用程序未能对注册字段中的用户输入进行过滤,导致攻击者可以在不应出现URL的地方注入链接。
技术细节
该问题存在于用户注册流程中: CSD0tFqvECLokhw9aBeRqtcL1ENczmt9RGJprIZlqnm5/9yjjSfvKWlyESRCwXggpN8fbDDLSuqCZOHzhdPl5hitQ3AUARp8VvHM0AADkuxbgF3LGEhuQSjW10RaT7MHsl+tpzhATHOtjNRBCZWbtC+Y193Pnf/ipuvYaWJjEoM+kE/Hr48wn2Vbi2u0qhLl
