どうも！

今回はこちら

https://hackerone.com/reports/500348

タイトルは

URL filter bypass in Enterprise Grid

内容としては、

フロント上ではURLの形としてしか許可していない入力が、直接パラメータをpostすることでいれられてしまう、ということみたいです。

それにしても、tel:で電話番号を入れてみるって発想が面白いなぁ…

こちらはslackなので、よく知られてサービスですよね？

有名なところだと、脆弱性(今回はそれらしい脆弱性じゃなかったかもしれませんが)が潰されてしまっていると思ってたんですが、実際はそうでもないようです。

これからは知ってるサービスを積極的に調べてみようかなぁ…

それでは！