HackerOneのレポート読む⑤
どうも!
今回はこちら
https://hackerone.com/reports/500348
タイトルは
URL filter bypass in Enterprise Grid
内容としては、
フロント上ではURLの形としてしか許可していない入力が、直接パラメータをpostすることでいれられてしまう、ということみたいです。
それにしても、tel:で電話番号を入れてみるって発想が面白いなぁ…
こちらはslackなので、よく知られてサービスですよね?
有名なところだと、脆弱性(今回はそれらしい脆弱性じゃなかったかもしれませんが)が潰されてしまっていると思ってたんですが、実際はそうでもないようです。
これからは知ってるサービスを積極的に調べてみようかなぁ…
それでは!