XSS - Injection url via API

Bonjour,

Il est possible de manipuler l’API pour y injecter dans le profile des datas.
Une personne malveillante pourrait injecter une URL d’un script js (j’y ai injecté jquery) qui compromettrait les données utilisateur.

1 J'aime

j’essaie de mesurer ça l’ampleur du problème dans l’état actuel.

à priori cet propriété n’est pas utilisé par le client, pour l’instant l’exec n’est donc pas possible.

bien entendu, il faudra valider / nettoyer les données qui arrivent sur l’API, mais il est nécessaire de passer par le compte de la cible pour que ce soit effectif.

Effectivement.

Par contre, comme mon compte est limité en nombre de posts par heure :pleading_face:, j’ai créé une autre issue (de la même veine) sur gitHub :


Qui du coup n’est pas référencée sur feedback