从信息性报告到获得HackerOne私有漏洞赏金计划472美元奖励:一次超链接注入漏洞的意外之旅
Assalam o alaikum(致穆斯林兄弟),非穆斯林朋友们大家好,希望大家一切安好,每天都在学习新知识。
免费阅读链接:
medium.com/@InsbatArsh…
我带着另一个有趣的发现故事回来了,希望能帮助大家获得更多漏洞赏金知识。话不多说,让我们开始正题。
在Web应用安全领域,最有趣的故事往往不是那些立即被修复的严重漏洞,而是那些经历意外转折的报告。最近的一个案例表明,最初的评估可能随时间而改变,为安全研究人员带来意想不到的结果。
发现过程
该漏洞聚焦于用户注册流程中的超链接注入,具体问题出现在“名”字段。这个问题虽然直接,但潜在影响不小:应用程序未能对注册字段中的用户输入进行清理,导致可以在不应出现URL的位置注入链接。
技术细节
该问题存在于用户注册流程中,具体表现为: CSD0tFqvECLokhw9aBeRqtcL1ENczmt9RGJprIZlqnm5/9yjjSfvKWlyESRCwXggpN8fbDDLSuqCZOHzhdPl5hitQ3AUARp8VvHM0AADkuxbgF3LGEhuQSjW10RaT7MHsl+tpzhATHOtjNRBCZWbtC+Y193Pnf/ipuvYaWJjEoM+kE/Hr48wn2Vbi2u0qhLl
