Redacted.com:ハッカーのペルソナ redactedのチャットシステムをテストするために、アカウント1(アトラクター)とアカウント2(「被害者」)の2つのアカウントを作成しました。
1つ目は、サニタイズ処理を施さずにHTMLペイロードをそのままレンダリングするHTMLペイロードでした。
もう1つの例は、iframeインジェクション機能で、バックグラウンドで「フィッシングリンク」を含むHTMLペイロードをレンダリングするものでした。
これはプラットフォームが悪意のある入力から保護できていないことを意味し、重大な問題でした。
コメント